Tags:
Node Thumbnail

กลุ่มแฮกเกอร์ Shadow Broker ปล่อยเครื่องมือแฮกจากกลุ่ม Equation Group ที่น่าจะเกี่ยวข้องกับ NSA ออกมา ตอนนี้นักวิจัยก็เริ่มเปิดเผยรายการเครื่องมือออกมา

Shadow Broker ระบุว่าเครื่องมือเหล่านี้เป็นเพียงบางส่วน และเรียกร้องเงินเพื่อเปิดเผยเครื่องมือทั้งหมด

เครื่องมือที่เปิดมาแล้วได้แก่

  • EGREGIOUSBLUNDER: เจาะไฟร์วอลล์ Fortigate ผ่าน HTTP Cookie กระทบรุ่น 60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600, และ 3600A
  • ELIGIBLEBACHELOR: เจาะไฟร์วอลล์ TOPSEC รุ่น 3.2.100.010, 3.3.001.050, 3.3.002.021, และ 3.3.002.030
  • ELIGIBLEBOMBSHELL: เจาะไฟร์วอลล์ TOPSEC รุ่น 3.2.100.010.1_pbc_17_iv_3 ถึงรุ่น 3.3.005.066.1 ผ่าน HTTP Cookie เครื่องนี้มีไฟล์เพิ่มเพื่อเจาะภายในไฟร์วอลล์ต่ออีกชั้น ได้แก่ WOBBLYLLAMA, FLOCKFORWARD, HIDDENTEMPLE, CONTAINMENTGRID, และ GOTHAMKNIGHT
  • ELIGIBLECANDIDATE: เจาะไฟร์วอลล์ TOPSEC เพื่อรันโค้ดผ่าน HTTP Cookie กระทบรุ่น 3.3.005.057.1 ถึง 3.3.010.024.1
  • ELIGIBLECONTESTANT: เจาะไฟร์วอลล์ TOPSEC เพื่อรันโค้ดผ่าน HTTP POST กระทบรุ่น 3.3.005.057.1 ถึง 3.3.010.024.1
  • EPICBANANA: เจาะไฟร์วอลล์ Cisco ASA และ Cisco PIX ด้วยการตรวจสอบรหัสผ่านเริ่มต้นของไฟร์วอลล์ กระทบ Cisco ASA รุ่น 711, 712, 721, 722, 723, 724, 80432, 804, 805, 822, 823, 824, 825, 831, และ 832 กระทบ Cisco PIX รุ่น 711, 712, 721, 722, 723, 724, และ 804
  • ESCALATEPLOWMAN: ยกระดับสิทธิ์ผู้ใช้ในไฟร์วอลล์ WatchGuard
  • EXTRABACON: เจาะไฟร์วอลล์ Cisco ASA เพื่อรันโค้ด ผ่าน SNMP กระทบรุ่น 802, 803, 804, 805, 821, 822, 823, 824, 825, 831, 832, 841, 842, 843, และ 844
  • BOOKISHMUTE: เจาะไฟร์วอลล์ที่ไม่ระบุชื่อ แต่รันใน RedHat 6.0
  • FALSEMOREL: หารหัสผ่านสำหรับเข้าสิทธิ์ระดับสูง (enable password) ในไฟร์วอลล์ (น่าจะเป็นซิสโก้)
  • BENIGNCERTAIN: เจาะกุญแจเข้ารหัส จาก Cisco PIX ด้วยการสร้างแพ็กเก็ตรูปแบบเฉพาะ ทำให้ผ่านกุญแจ RSA ได้จากระยะไกล รูปแบบการโจมตีคล้ายกับ Heartbleed แต่เป็นการเจาะสำหรับ VPN ที่ใช้ IKE

นอกจากเครื่องมือการเจาะระบบแล้ว ยังมีรายการซอฟต์แวร์ฝังตัวไว้ในเครื่องเหยื่อ (implant) และชุดเครื่องมืออื่นๆ เช่น การแปลงหมายเลขไอพี, แปลงไฟล์เป็น PCAP, และยิงแพ็กเก็ตออกไปยังเน็ตเวิร์ค รายชื่อเครื่องมือทั้งหมดอ่านได้ในที่มา

ตัวที่อันตรายที่สุดตัวหนึ่งคือ BENIGNCERTAIN ที่ใช้ดึงกุญแจเข้ารหัสออกจาก Cisco PIX ที่หมดอายุการซัพพอร์ตไปแล้ว แต่ยังมีการใช้งานในวงกว้าง องค์กรไหนยังใช้อยู่ควรตรวจสอบว่าได้รับผลกระทบหรือไม่

ที่มา - Musa Labs 1, 2

Get latest news from Blognone

Comments

By: zda98
Windows Phone
on 22 August 2016 - 14:11 #934371

โหดมาก

By: icez
ContributoriPhoneAndroidRed Hat
on 22 August 2016 - 14:55 #934397

Hearbleed

Heartbleed

By: Jirawat
Android
on 22 August 2016 - 15:11 #934405
Jirawat's picture

บร๊ะเจ้า