АНБ открыло доступ к одному из своих инструментов для реверс-инжиниринга

Агентство национальной безопасности (АНБ) США обнародовало инструмент под названием Ghidra, который ведомство уже в течение 10 лет использует для проведения обратного инжиниринга. В настоящее время программа доступна только на официальном сайте АНБ, однако агентство намерено в ближайшем будущем разместить исходный код инструмента на GitHub.

Проект активно применяется спецслужбами США для выявления закладок, анализа вредоносного кода, изучения различных исполняемых файлов и разбора скомпилированного кода. Ghidra обладает сходными возможностями с расширенной версией проприетарного пакета IDA Pro, но рассчитан исключительно на анализ кода и не содержит отладчик.

Код Ghidra написан на языке Java, инструмент включает графический интерфейс и может работать на устройствах под управлением Windows, macOS и Linux. Для работы интерфейса требуется наличие Java Development Kit (версия 11 или более поздние).

Примечательно, спустя всего несколько минут после публикации инструментария, эксперты обнаружили уязвимость в реализации серверного компонента. Проблема заключается в том, что Ghidra открывает сетевой порт 18001 для удаленной отладки приложения по протоколу JDWP (Java Debug Wire Protocol). По умолчанию сетевые соединения принимались на всех доступных сетевых интерфейсах, а не на 127.0.0.1, что предоставляло возможность подключиться к Ghidra с других систем и выполнить любой код в контексте приложения. Как отмечается, проблему легко исправить – для этого потребуется всего лишь изменить строку кода.