Dans l’archive déverrouillée contenant des exploits prétendument volés à l'Agence de sécurité nationale américaine (NSA), livrée par le groupe de pirates Shadow Brokers, les experts en sécurité ont découvert des outils qui pourraient permettre aux assaillants de s’introduire à distance dans tout système Solaris, partout dans le monde, avec des privilèges root. Une très mauvaise nouvelle pour les administrateurs Solaris.
Selon le site anglo-saxon The Register, les fichiers publiés par Shadow Broker font référence à deux programmes dénommés Extremeparr et Ebbisland, qui permettraient aux attaquants d’obtenir à distance via le réseau un accès root aux versions 6 à 10 de l’OS Solaris sur les architectures x86 et Sparc. Sur Twitter, Matthew Hickey, cofondateur du consultant britannique en sécurité Hacker House, a indiqué que l’attaque par escalade de privilège en local Extremeparr fonctionnait avec Solaris 7, 8, 9 et 10 aussi bien sur les systèmes x86 que Sparc. Ebbisland pourrait exploiter une vulnérabilité de dépassement dans le code de représentation externe de données de Solaris dans les versions 6, 7, 8, 9 et 10 de l’OS sur Sparc et sur x86. Le message posté sur Twitter indique également que le dernier système Oracle Solaris 11 est peut-être vulnérable. « Les exploits de la NSA sont des œuvres d'art. Ils sont robustes, fiables, résistent à l’analyse légale, utilisent des techniques d'évasion des systèmes de détection des intrusions et des binaires statiques comme exécutable. De vraies merveilles », a déclaré Matthew Hickey sur Twitter.
Une découverte préoccupante
Extremeparr procède par élévation des privilèges attribués à un utilisateur connecté, une application ou un script pour bénéficier d’un accès root en profitant d’un défaut d'autorisation de fichier dans l'utilitaire dtappgather et dans le flag setuid. L'utilitaire, qui regroupe des fichiers applicatifs et qui a pour fonction de créer et de mettre à jour le sous-répertoire Application Manager, a été corrigé à de nombreuses reprises pour patcher des vulnérabilités permettant à des utilisateurs locaux de changer la propriété de tout fichier et d'obtenir des privilèges root. Le flag setuid permet aux utilisateurs de lancer des fichiers exécutables avec des privilèges élevés, même en tant que root. Ebbisland est un exploit d'exécution de code à distance qui cible les services d'appel à distance Remote Procedure Call pour exécuter des shells root sur le serveur Solaris ciblé.
La découverte d'outils capables de contrôler à distance les machines Solaris est très préoccupante, car peu d'administrateurs surveillent de manière proactive leurs clusters Solaris pour les attaques. Elle est préoccupante aussi parce que ces systèmes traitent généralement des informations sensibles. Ces binaires peuvent cibler n'importe quel système Solaris dans le monde et permettent aux attaquants de s’introduire dans des systèmes critiques détenus par certaines des plus grandes entreprises du monde. « La NSA pouvait pirater n’importe quelle boîte Oracle Solaris dans le monde via UDP/TCP de manière générique sans se faire détecter et cette information est désormais publique », a encore déclaré Matthew Hickey sur Twitter.
Des systèmes encore utilisés
Les systèmes Solaris ne sont pas aussi répandus qu’autrefois, mais ce vénérable OS est loin d'être mort. Beaucoup d'industries comptent toujours sur leurs clusters pour traiter leurs opérations critiques, leurs grosses applications de bases de données et d'autres plates-formes héritées. Les entreprises de services financiers et les opérateurs de télécommunications ont toujours des contrats de support avec Oracle pour leurs clusters Solaris, de même que les entreprises des secteurs de la santé et de la défense. Une recherche rapide sur Shodan, un moteur de recherche de périphériques connectés, a trouvé des milliers de systèmes Solaris dans le monde entier. Et ces résultats n'incluent pas les systèmes installés dans les datacenters d'entreprise qui ne sont pas directement connectés à Internet. Néanmoins, ces dernières années, Solaris a perdu des parts de marché face à ses concurrents, et plus tôt cette année, Oracle a mis un terme au développement d’un futur Solaris 12 et licencié le personnel chargé de la maintenance des systèmes Sparc (450 personnes en tout). Malgré tout, l’OS devrait rester encore un certain temps dans le paysage puisque Oracle s'est engagé à supporter les systèmes Solaris jusqu'en 2034.
Commentaire