CVE-2020-14871：Oracle Solaris 0-Day漏洞利用在野

admin-root發表於2020-11-06

Tenable研究院 [Tenable安全](javascript:void(0)? 今天

研究人員揭示了Oracle Solaris中的關鍵零日漏洞，該漏洞正在被攻擊威脅參與者廣泛利用。

背景

11月2日，FireEye的研究人員發表了一篇部落格文章，詳細介紹了Mandiant事件響應調查的發現，這些研究導致發現了一個被稱為UNC1945的未定性（UNC）小組。作為此調查的一部分，他們發現UNC1945正在利用一個嚴重的Oracle Solaris 0-Day漏洞來安裝後門，以此作為攻擊的一部分。

圖片來源：Twitter

11月4日，FireEye釋出了後續部落格，其中提供了有關該漏洞的更多詳細資訊。

https://www.fireeye.com/blog/threat-research/2020/11/critical-buffer-overflow-vulnerability-in-solaris-can-allow-remote-takeover.html

分析

CVE-2020-14871是Oracle Solaris的身份驗證模組（PAM）中的一個重要的基於預身份驗證堆疊的緩衝區溢位漏洞。PAM是動態身份驗證元件，早在1997年，它就已作為Solaris 2.6的一部分整合到Solaris中。該漏洞的CVSSv3評分為10.0，這是最高的評分。在釋出時，此漏洞的Tenable 漏洞修補優先順序率VPR分數也為10.0。

PAM庫的parse_user_name函式中存在此漏洞，原因是使用者名稱輸入驗證不正確，該使用者名稱超過一定長度（512位元組）。未經身份驗證的遠端攻擊者可以嘗試通過安全外殼（SSH）鍵盤互動式身份驗證（一種支援PAM的直通身份驗證方法）登入到易受攻擊的Solaris伺服器，從而利用此漏洞。使用包含超過512位元組使用者名稱的特製請求，攻擊者可以在強制鍵盤互動式身份驗證提示輸入使用者名稱後，將無限的輸入傳遞給PAM parse_user_name函式。

確定遠端伺服器是否容易受到攻擊，就像檢視伺服器對該請求的響應一樣簡單。如果伺服器返回“身份驗證失敗”訊息，則該伺服器容易受到攻擊。如果伺服器繼續提供使用者名稱提示，則該伺服器不會受到攻擊。

在Oracle Solaris 11.1和更高版本上無法通過SSH進行利用

研究人員注意到，在Oracle Solaris 11.1和更高版本中，該漏洞仍然存在於parse_user_name函式中。但是，由於使用者名稱在傳遞給parse_user_name函式之前被截斷，因此他們確定對PAM庫的無意更改使通過SSH的利用向量無效。

零日漏洞據報導以3,000美元的價格被收購

在關於UNC1945的第一篇部落格文章中，研究人員說，他們在地下市場上發現了一個廣告，廣告內容是“ Oracle Solaris SSHD遠端根攻擊”，售價為3,000美元。他們認為，這很可能是UNC1945攻擊者獲得了稱為EVILSUN的漏洞利用工具的地方。

漏洞多年來一直存在於PAM庫中

研究人員還指出，該漏洞可能在PAM中“存在了數十年”，因為大多數應用程式可能已經在對使用者名稱傳遞給PAM庫之前對其進行了輸入驗證。但是，SSH並不是其中之一，這就是攻擊者設法利用此漏洞的方式。

10月22日，將提交提交到Illumos PAM庫以解決parse_user_name函式，該函式在提交訊息中被稱為“草率”。這意味著實施PAM的其他技術也可能容易受到攻擊，並且此問題可能不是Solaris獨有的。

攻擊者使用BlueKeep漏洞進行其他偵察

雖然使用CVE-2020-14871獲得對受害者網路的初始訪問許可權，但研究人員還發現黑客使用了各種工具，包括使用了BKScan工具箱，其中包含對CVE-2019-0708的利用，這是一個關鍵的遠端Microsoft的遠端桌面協議中的程式碼執行漏洞。安全研究員凱文·博蒙特（Kevin Beaumont）將該漏洞稱為“ BlueKeep”，該漏洞已於2019年5月作為Microsoft補丁星期二的一部分進行了修補。

概念驗證PoC

別名為Hacker Fantastic的安全研究人員已在其GitHub頁面上釋出了針對CVE-2020-14871的概念驗證（PoC）漏洞。