又一项甲骨文软件漏洞遭到开采。安全厂商发现,Oracle Solaris Server一个风险10.0的零时差漏洞,在2年前便有黑客组织开采并黑入企业网络,直到最近才被发现及修补。
FireEye旗下研究单位Mandiant发现这项漏洞及作乱黑客并通报甲骨文。代号UNC1945的黑客组织,过去就被发现会锁定Solaris、但攻击目标也包括Windows、Linux,或VM,还具有回避侦测的高超技术。
2018年Mandiant团队首次发现UNC1945曾黑入一家企业的Solaris 10服务器,植入后门程序以截取用户连接帐密及相关信息。今年中,研究人员再度发现,这家企业的另一台Solaris 9服务器连向黑客控制的主机,根据一些证据,显示这个黑客已在这家公司网络上潜伏了519天。研究人员也发现UNC1945和这台Solaris 9之间创建了SSH服务连接。
在今年的黑入行动中,UNC 1945是利用市售的Evilsun远程攻击组件,这个组件包含一个针对Solaris的漏洞开采工具成功黑入网络。研究人员分析,Evilsun可能来自于今年4月在黑市网站出现名为Oracle Solaris SSHD Remote Root Exploit的攻击组件,当时挂牌价为3,000美元。
Mandiant随后将发现的漏洞,即编号CVE-2020-14871通报甲骨文。这个漏洞存在Solaris插入式验证模块(Pluggable Authentication Modules,PAM)中,允许攻击者以多种协议开采并入侵Solaris,而且研究人员判断攻击者不需验证也能远程开采,CVSS 3.1风险评分达10.0。
在黑入Solaris 9后,UNC 1945先后植入不同后门程序执行不同任务,包括以Slapstick搜集密码、用作升级权限及长期潜伏,而利用Lemonstick执行指令、文件传输及创建SSH信道连接。之后它还丢进特殊VM以引入多种网络扫描、侦察及攻击工具,以及具有修改文件时间及清除log以躲避侦探的工具程序。
FireEye并未透露这家受害企业的产业,但另一家安全公司曾发现它攻击金融及专业顾问业。至于UNC1945黑入Solaris的目的为何,FireEye尚不得而知,目前推断会把黑入受害者系统的整个网络卖给另一个黑客组织。
甲骨文已在10月的季度更新中进行修补。这是甲骨文继WebLogic Server多项漏洞后,最新一个被开采的软件。