Ta nowa luka w Sambie jest już nazywana „Sambacry”, natomiast sam exploit wspomina o „Eternal Red Samba”, ogłoszonej na Twitterze (sensacyjnie) jako:
Błąd Samby, wyzwalacz jednowierszowy metasploit to po prostu: simple.create_pipe ("/ path / to / target.so")
Potencjalnie dotknięte wersje Samby pochodzą z wersji Samba 3.5.0 do 4.5.4 / 4.5.10 / 4.4.14.
Jeśli Twoja instalacja Samby spełnia opisane poniżej konfiguracje, poprawka / aktualizacja powinna zostać wykonana jak najszybciej, ponieważ istnieją już exploity , inne exploity w modułach Python i
metasploit .
Co ciekawe, istnieją już dodatki do znanego honeypota z projektu honeynet , dionaea zarówno do wtyczek WannaCry, jak i SambaCry .
Wygląda na to, że samba płacze już jest (ab) używana do instalowania większej liczby krypto-górników „EternalMiner” lub w przyszłości podwoi się jako dropper złośliwego oprogramowania .
honeypoty utworzone przez zespół naukowców z Kaspersky Lab przechwyciły kampanię złośliwego oprogramowania wykorzystującą lukę SambaCry do infekowania komputerów z systemem Linux oprogramowaniem do wydobywania kryptowalut. Inny badacz bezpieczeństwa, Omri Ben Bassat, niezależnie odkrył tę samą kampanię i nazwał ją „EternalMiner”.
Zalecane obejście dla systemów z zainstalowaną Sambą (które również znajduje się w zawiadomieniu CVE) przed aktualizacją, dodaje smb.conf:
nt pipe support = no
(i restartowanie usługi Samba)
Ma to na celu wyłączenie ustawienia, które włącza / wyłącza możliwość nawiązywania anonimowych połączeń z usługą Windows Windows o nazwie potoki. Od man samba:
Ta globalna opcja jest używana przez programistów, aby zezwolić lub zabronić klientom Windows NT / 2000 / XP nawiązywania połączeń z rurami SMB IPC $ specyficznymi dla NT. Jako użytkownik nigdy nie powinieneś zastępować wartości domyślnej.
Jednak z naszego wewnętrznego doświadczenia wynika, że poprawka nie jest kompatybilna ze starszymi? Wersje Windows (przynajmniej niektórzy klienci Windows 7 wydają się nie współpracować z nt pipe support = no), i dlatego ścieżka naprawcza może w skrajnych przypadkach przejść do instalacji, a nawet kompilacji Samby.
Mówiąc dokładniej, ta poprawka wyłącza wyświetlanie udziałów w klientach Windows, a jeśli zostaną zastosowane, muszą ręcznie określić pełną ścieżkę udziału, aby móc z niego korzystać.
Innym znanym obejściem jest upewnienie się, że udziały Samby są zamontowane z noexecopcją. Zapobiegnie to wykonaniu plików binarnych znajdujących się w zamontowanym systemie plików.
Oficjalna łatka źródłowego kodu bezpieczeństwa znajduje się tutaj na stronie bezpieczeństwa samba.org .
Debian już wypchnął wczoraj (24/5) aktualizację za drzwi i odpowiednią notę bezpieczeństwa DSA-3860-1 samba
Aby sprawdzić, czy luka została usunięta w Centos / RHEL / Fedora i pochodnych, wykonaj:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Istnieje teraz nmapskrypt wykrywający: samba-vuln-cve-2017-7494.nse do wykrywania wersji Samby lub znacznie lepszy nmapskrypt sprawdzający, czy usługa jest podatna na ataki pod adresem http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , skopiuj go, /usr/share/nmap/scriptsa następnie zaktualizuj nmapbazę danych lub uruchom w następujący sposób:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Długoterminowe środki ochrony usługi SAMBA: protokołu SMB nigdy nie należy oferować bezpośrednio w Internecie w ogóle.
Oczywiste jest również, że SMB zawsze był zawiłym protokołem i że tego rodzaju usługi powinny być zaporowe i ograniczone do sieci wewnętrznych [do których są obsługiwane].
Gdy potrzebny jest zdalny dostęp, zarówno do domu, jak i specjalnie do sieci korporacyjnych, dostęp ten powinien być lepiej realizowany przy użyciu technologii VPN.
Jak zwykle w takich sytuacjach opłaca się zasada uniksowa polegająca na instalowaniu i aktywowaniu tylko minimalnych wymaganych usług.
Z samego exploita:
Exploit Eternal Red Samba - CVE-2017-7494.
Powoduje, że podatny serwer Samba ładuje bibliotekę współdzieloną w kontekście root.
Poświadczenia nie są wymagane, jeśli serwer ma konto gościa.
Aby móc wykorzystać zdalnie, musisz mieć uprawnienia do zapisu w co najmniej jednym udziale.
Eternal Red skanuje serwer Samby w poszukiwaniu udziałów, do których może pisać. Określa również pełną ścieżkę udziału zdalnego.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
Wiadomo również, że systemy z włączoną funkcją SELinux nie są podatne na exploit.
Zobacz 7-letnią wadę Samby, która pozwala hakerom na zdalny dostęp do tysięcy komputerów z systemem Linux
Według wyszukiwarki komputerowej Shodan ponad 485,000 komputerów obsługujących Sambę ujawniło port 445 w Internecie, a według badaczy z Rapid7, ponad 104 000 punktów końcowych narażonych na działanie Internetu wydaje się działać na wrażliwych wersjach Samby, z czego 92 000 to działające nieobsługiwane wersje Samby.
Ponieważ Samba jest protokołem SMB zaimplementowanym w systemach Linux i UNIX, niektórzy eksperci twierdzą, że jest to „wersja EternalBlue dla systemu Linux” używana przez ransomware WannaCry.
... czy powinienem powiedzieć SambaCry?
Biorąc pod uwagę liczbę podatnych systemów i łatwość wykorzystania tej luki, wada Samby może zostać wykorzystana na dużą skalę z możliwościami działania.
Sieci domowe z urządzeniami pamięci masowej (NAS) [które również działają w systemie Linux] również mogą być podatne na tę lukę.
Zobacz także W Sambie od 7 lat czai się błąd w wykonywaniu kodu. Łata teraz!
Siedmioletnia wada, zindeksowana jako CVE-2017-7494, może być niezawodnie wykorzystana za pomocą tylko jednego wiersza kodu do wykonania złośliwego kodu, o ile zostanie spełnionych kilka warunków. Wymagania te obejmują wrażliwe komputery, które:
(a) udostępnić port 445 do udostępniania plików i drukarek w Internecie,
(b) skonfigurować udostępnione pliki, aby mieć uprawnienia do zapisu, oraz
(c) użyć znanych lub domyślnych ścieżek serwera dla tych plików.
Po spełnieniu tych warunków zdalni napastnicy mogą przesłać dowolny wybrany kod i spowodować, że serwer go wykona, być może z nieograniczonymi uprawnieniami roota, w zależności od podatnej platformy.
Biorąc pod uwagę łatwość i niezawodność exploitów, dziura ta jest warta jak najszybszego zatkania. To tylko kwestia czasu, zanim atakujący zaczną aktywnie atakować.
Również Rapid 7 - łatanie CVE-2017-7494 w Sambie: It's the Circle of Life
I jeszcze więcej SambaCry: Sequel Linuksa do WannaCry .
Konieczne fakty
CVE-2017-7494 ma wynik CVSS na poziomie 7,5 (CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.
Zakres zagrożenia
Zapytanie shodan.io „port: 445! Os: windows” pokazuje około miliona hostów innych niż Windows, które mają tcp / 445 otwarte dla Internetu, z czego ponad połowa istnieje w Zjednoczonych Emiratach Arabskich (36%) i USA (16%). Chociaż wiele z nich może działać w łatanych wersjach, mieć zabezpieczenia SELinux lub w inny sposób nie spełniać kryteriów niezbędnych do uruchomienia exploita, możliwa powierzchnia ataku dla tej luki jest duża.
PS Poprawka zatwierdzenia w projekcie github SAMBA wydaje się być zatwierdzona 02a76d86db0cbe79fcaf1a500630e24d961fa149