Zgodnie z artykułem rapid7 istnieje kilka wrażliwych wersji Samby umożliwiających zdalne wykonanie kodu w systemach Linux:
Podczas gdy ransomworm WannaCry wpłynął na systemy Windows i był łatwy do zidentyfikowania, przy wyraźnych krokach naprawczych, luka w Sambie wpłynie na systemy Linux i Unix i może stanowić poważne techniczne przeszkody w uzyskaniu lub wdrożeniu odpowiednich środków zaradczych.
Wszystkie wersje Samby od wersji 3.5.0 są podatne na lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu, umożliwiającą złośliwemu klientowi przesłanie biblioteki współdzielonej do zapisywalnego udziału, a następnie spowodowanie załadowania i uruchomienia serwera.
Możliwy scenariusz ataku:
Począwszy od dwóch czynników:
- Luka w Sambie nie została jeszcze naprawiona w niektórych dystrybucjach Linuksa.
- W niektórych wersjach jądra Linux (na przykład CVE-2017-7308 w standardowym jądrze Ubuntu 4.8.0-41) występuje luka bez łatek.
Osoba atakująca może uzyskać dostęp do komputera z systemem Linux i podnieść uprawnienia przy użyciu lokalnej luki w zabezpieczeniach umożliwiającej uzyskanie dostępu do konta root i zainstalowanie potencjalnego oprogramowania ramsomware w przyszłości, podobnie jak w przypadku fałszywego oprogramowania ransomware WannaCry dla systemu Linux .
Aktualizacja
Najnowszy artykuł „Ostrzeżenie! Hakerzy zaczęli używać„ SambaCry Flaw ”do hakowania systemów Linux” demonstrują, jak używać wady Sambacry do infekowania komputera z systemem Linux.
Prognozy okazały się dość dokładne, ponieważ honeypoty utworzone przez zespół naukowców z Kaspersky Lab przechwyciły kampanię złośliwego oprogramowania wykorzystującą lukę SambaCry do infekowania komputerów z systemem Linux oprogramowaniem do wydobywania kryptowalut.
Inny badacz bezpieczeństwa, Omri Ben Bassat, niezależnie odkrył tę samą kampanię i nazwał ją „EternalMiner” .
Według naukowców nieznana grupa hakerów rozpoczęła porwanie komputerów z systemem Linux zaledwie tydzień po publicznym ujawnieniu błędu Samby i zainstalowaniu ulepszonej wersji „CPUminer”, oprogramowania do wydobywania kryptowalut, które wydobywa cyfrową walutę „Monero”.
Po skompromitowaniu podatnych na ataki maszyn przy użyciu podatności SambaCry, atakujący wykonują dwa ładunki w systemach docelowych:
INAebsGB.so - Odwrotna powłoka zapewniająca zdalny dostęp do atakujących.
cblRWuoCc.so - Backdoor zawierający narzędzia do wydobywania kryptowaluty - CPUminer.
Raport TrendLab opublikowany 18 lipca 2017 r .: Użytkownicy systemu Linux wezwani do aktualizacji, ponieważ nowe zagrożenie wykorzystuje SambaCry
Jak zabezpieczyć system Linux, aby zapobiec atakowi?
źródło
Odpowiedzi:
Ta nowa luka w Sambie jest już nazywana „Sambacry”, natomiast sam exploit wspomina o „Eternal Red Samba”, ogłoszonej na Twitterze (sensacyjnie) jako:
Potencjalnie dotknięte wersje Samby pochodzą z wersji Samba 3.5.0 do 4.5.4 / 4.5.10 / 4.4.14.
Jeśli Twoja instalacja Samby spełnia opisane poniżej konfiguracje, poprawka / aktualizacja powinna zostać wykonana jak najszybciej, ponieważ istnieją już exploity , inne exploity w modułach Python i metasploit .
Co ciekawe, istnieją już dodatki do znanego honeypota z projektu honeynet , dionaea zarówno do wtyczek WannaCry, jak i SambaCry .
Wygląda na to, że samba płacze już jest (ab) używana do instalowania większej liczby krypto-górników „EternalMiner” lub w przyszłości podwoi się jako dropper złośliwego oprogramowania .
Zalecane obejście dla systemów z zainstalowaną Sambą (które również znajduje się w zawiadomieniu CVE) przed aktualizacją, dodaje
smb.conf
:(i restartowanie usługi Samba)
Ma to na celu wyłączenie ustawienia, które włącza / wyłącza możliwość nawiązywania anonimowych połączeń z usługą Windows Windows o nazwie potoki. Od
man samba
:Jednak z naszego wewnętrznego doświadczenia wynika, że poprawka nie jest kompatybilna ze starszymi? Wersje Windows (przynajmniej niektórzy klienci Windows 7 wydają się nie współpracować z
nt pipe support = no
), i dlatego ścieżka naprawcza może w skrajnych przypadkach przejść do instalacji, a nawet kompilacji Samby.Mówiąc dokładniej, ta poprawka wyłącza wyświetlanie udziałów w klientach Windows, a jeśli zostaną zastosowane, muszą ręcznie określić pełną ścieżkę udziału, aby móc z niego korzystać.
Innym znanym obejściem jest upewnienie się, że udziały Samby są zamontowane z
noexec
opcją. Zapobiegnie to wykonaniu plików binarnych znajdujących się w zamontowanym systemie plików.Oficjalna łatka źródłowego kodu bezpieczeństwa znajduje się tutaj na stronie bezpieczeństwa samba.org .
Debian już wypchnął wczoraj (24/5) aktualizację za drzwi i odpowiednią notę bezpieczeństwa DSA-3860-1 samba
Aby sprawdzić, czy luka została usunięta w Centos / RHEL / Fedora i pochodnych, wykonaj:
Istnieje teraz
nmap
skrypt wykrywający:samba-vuln-cve-2017-7494.nse
do wykrywania wersji Samby lub znacznie lepszynmap
skrypt sprawdzający, czy usługa jest podatna na ataki pod adresem http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , skopiuj go,/usr/share/nmap/scripts
a następnie zaktualizujnmap
bazę danych lub uruchom w następujący sposób:Długoterminowe środki ochrony usługi SAMBA: protokołu SMB nigdy nie należy oferować bezpośrednio w Internecie w ogóle.
Oczywiste jest również, że SMB zawsze był zawiłym protokołem i że tego rodzaju usługi powinny być zaporowe i ograniczone do sieci wewnętrznych [do których są obsługiwane].
Gdy potrzebny jest zdalny dostęp, zarówno do domu, jak i specjalnie do sieci korporacyjnych, dostęp ten powinien być lepiej realizowany przy użyciu technologii VPN.
Jak zwykle w takich sytuacjach opłaca się zasada uniksowa polegająca na instalowaniu i aktywowaniu tylko minimalnych wymaganych usług.
Z samego exploita:
Wiadomo również, że systemy z włączoną funkcją SELinux nie są podatne na exploit.
Zobacz 7-letnią wadę Samby, która pozwala hakerom na zdalny dostęp do tysięcy komputerów z systemem Linux
Zobacz także W Sambie od 7 lat czai się błąd w wykonywaniu kodu. Łata teraz!
Również Rapid 7 - łatanie CVE-2017-7494 w Sambie: It's the Circle of Life
I jeszcze więcej SambaCry: Sequel Linuksa do WannaCry .
PS Poprawka zatwierdzenia w projekcie github SAMBA wydaje się być zatwierdzona 02a76d86db0cbe79fcaf1a500630e24d961fa149
źródło
Większość z nas obsługujących serwery Samby prawdopodobnie działa w sieciach LAN, za zaporami ogniowymi i nie wystawia swoich portów bezpośrednio na świat zewnętrzny.
Byłoby to okropną praktyką, gdybyś to zrobił, i niewybaczalne, gdy istnieją proste, skuteczne i darmowe (jak w piwie i mowie) rozwiązania VPN, takie jak OpenVPN. Protokół SMB nie został zaprojektowany z myślą o otwartym Internecie (do cholery, protokół TCP / IP pojawił się nawet w późniejszym etapie tego protokołu) i powinien być traktowany jako taki. Dodatkowa propozycja jest uruchomiony firewall zasady dotyczące rzeczywistego gospodarza wymiany plików, który Whitelist tylko lokalne (i ostatecznie VPN) adresów sieciowych na wszystkich portach SMB (
139/TCP
,445/TCP
,137/UDP
i138/UDP
).Ponadto, jeśli pozwala na to twój przypadek użycia, powinieneś rozważyć uruchomienie Samby bez uprawnień (jako, powiedzmy,
samba
użytkownika, który nie jest pseudonimemroot
). Rozumiem, że nie jest tak łatwo łączyć ograniczenia NT ACL z ACL POSIX z tą konfiguracją, ale jeśli jest to możliwe w konkretnej konfiguracji, to jest to właściwa droga.Wreszcie, nawet przy takim „blokowaniu” nadal zaleca się stosowanie łatki, jeśli możesz (ponieważ istnieją skrzynki NAS, w których może to nie być wykonalne), i sprawdzenie, czy konkretny przypadek użycia działa z
nt pipe support
ustawionym nano
.źródło