Tato nová zranitelnost Samba se již nazývá „Sambacry“, zatímco exploit samotný zmiňuje „Eternal Red Samba“, oznámenou na Twitteru (senzačním způsobem) jako:
Chyba Samby, metasploit one-liner ke spuštění je jen:simple.create_pipe("/path/to/target.so")
Potenciálně ovlivněné verze Samby jsou od Samby 3.5.0 do 4.5.4/4.5.10/4.4.14.
Pokud vaše instalace Samby splňuje konfigurace popsané níže, oprava/upgrade by měla být provedena co nejdříve, protože již existují exploity, jiné exploity v modulech python a metasploit.
Ještě zajímavější je, že již existují doplňky ke známému honeypotu z projektu honeynet, dionaea k zásuvným modulům WannaCry a SambaCry.
Zdá se, že Samba cry se již (ne)využívá k instalaci dalších krypto-těžařů „EternalMiner“ nebo se v budoucnu zdvojnásobí jako kapátko malwaru.
Honeypoty vytvořené týmem výzkumníků z Kaspersky Lab zachytily malwarovou kampaň, která využívá zranitelnost SambaCry k infikování počítačů se systémem Linux softwarem pro těžbu kryptoměn. Další bezpečnostní výzkumník, Omri Ben Bassat, nezávisle objevil stejnou kampaň a nazval ji „EternalMiner“.
Doporučené řešení pro systémy s nainstalovanou Sambou (které je také uvedeno v upozornění CVE) před aktualizací, se přidává do 05 :
nt pipe support = no
(a restartování služby Samba)
To má zakázat nastavení, které zapíná/vypíná možnost vytvářet anonymní připojení ke službě Windows IPC pojmenovaných potrubí. Od 18 :
Tuto globální možnost používají vývojáři k povolení nebo zakázání klientům WindowsNT/2000/XP možnost vytvářet připojení k kanálům SMBIPC $ specifickým pro NT. Jako uživatel byste nikdy neměli potřebovat přepsat výchozí nastavení.
Z naší interní zkušenosti se však zdá, že oprava není kompatibilní se staršími? Verze Windows (alespoň některé? Klienti Windows 7 zřejmě nefungují s 20 ), a jako taková může cesta nápravy v extrémních případech vést k instalaci nebo dokonce kompilaci Samby.
Přesněji řečeno, tato oprava deaktivuje výpis sdílených položek z klientů Windows, a pokud je použita, musí ručně zadat úplnou cestu ke sdílené složce, aby ji mohli používat.
Dalším známým řešením je zajistit, aby sdílené položky Samba byly připojeny pomocí 37 volba. To zabrání spouštění binárních souborů umístěných na připojeném souborovém systému.
Oficiální oprava zdrojového kódu zabezpečení je zde ze stránky zabezpečení samba.org.
Debian již včera (24/5) vydal aktualizaci a odpovídající bezpečnostní upozornění DSA-3860-1 samba
Chcete-li ověřit, zda je chyba zabezpečení opravena v Centos/RHEL/Fedora a odvozeninách, postupujte takto:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Nyní existuje 47 detekční skript :54 pro detekci verzí Samby nebo mnohem lepší 61 skript, který kontroluje, zda je služba zranitelná na adrese http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve-2017-7494.nse, zkopírujte jej do 77 a poté aktualizujte 81 databáze nebo jej spusťte následovně:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
O dlouhodobých opatřeních na ochranu služby SAMBA:Protokol SMB by nikdy neměl být nabízen přímo internetu jako celku.
Je také samozřejmé, že SMB byl vždy spletitý protokol a že tyto druhy služeb by měly být chráněny firewallem a omezeny na vnitřní sítě [do kterých jsou poskytovány].
Když je potřeba vzdálený přístup, ať už do domácích nebo speciálně do podnikových sítí, měly by být tyto přístupy lépe prováděny pomocí technologie VPN.
Jako obvykle se v těchto situacích vyplatí unixový princip instalace a aktivace pouze minimálních požadovaných služeb.
Převzato ze samotného exploitu:
Eternal Red Samba Exploit -- CVE-2017-7494.
Způsobí, že zranitelný server Samba načte sdílenou knihovnu v kořenovém kontextu.
Pověření nejsou vyžadována, pokud má server účet hosta.
Pro vzdálené zneužití musíte mít oprávnění k zápisu alespoň do jedné sdílené složky.
Eternal Red vyhledá na serveru Samba sdílené položky, na které může zapisovat. Také určí úplnou cestu ke vzdálené sdílené složce.For local exploit provide the full path to your shared library to load. Your shared library should look something like this extern bool change_to_root_user(void); int samba_init_module(void) { change_to_root_user(); /* Do what thou wilt */ }
Je také známo, že systémy s povoleným SELinuxem nejsou zranitelné vůči exploitu.
Viz 7 let stará chyba Samby, která hackerům umožňuje vzdálený přístup k tisícům počítačů se systémem Linux
Podle počítačového vyhledávače Shodan více než 485 000 počítačů s povolenou Samba odhalilo na internetu port 445 a podle výzkumníků z Rapid7 se zdálo, že více než 104 000 koncových bodů vystavených internetu používá zranitelné verze Samby, z nichž 92 000 používá nepodporované verze. ze Samby.
Protože Samba je protokol SMB implementovaný v systémech Linux a UNIX, někteří odborníci říkají, že jde o „linuxovou verzi EternalBlue“, kterou používá ransomware WannaCry.
...nebo mám říct SambaCry?
S ohledem na množství zranitelných systémů a snadnost zneužití této zranitelnosti by mohla být chyba Samby zneužita ve velkém měřítku pomocí červivých schopností.
Domácí sítě se síťovými úložnými zařízeními (NAS) [na kterých běží také Linux] mohou být touto chybou také zranitelné.
Viz také Chyba spouštějící červivý kód se v Sambě skrývá již 7 let. Opravte nyní!
Sedm let stará chyba, indexovaná jako CVE-2017-7494, může být spolehlivě zneužita pouze jedním řádkem kódu ke spuštění škodlivého kódu, pokud je splněno několik podmínek. Tyto požadavky zahrnují zranitelné počítače, které:
(a) zpřístupnit port 445 pro sdílení souborů a tiskáren na internetu,
(b) konfigurovat sdílené soubory tak, aby měly oprávnění k zápisu, a
(c) používat pro tyto soubory známé nebo odhadnutelné cesty serveru.Když jsou tyto podmínky splněny, mohou vzdálení útočníci nahrát libovolný kód podle svého výběru a způsobit, že jej server spustí, případně s neomezenými právy root, v závislosti na zranitelné platformě.
Vzhledem k jednoduchosti a spolehlivosti exploitů se vyplatí tuto díru co nejdříve zacpat. Je pravděpodobně jen otázkou času, než na něj útočníci začnou aktivně cílit.
Také Rapid 7 – Patching CVE-2017-7494 v Samba:It's the Circle of Life
A další SambaCry:Linuxové pokračování WannaCry.
Fakta o potřebě vědět
CVE-2017-7494 má skóre CVSS 7,5 (CVSS:3,0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)3.
Rozsah hrozby
Dotaz shodan.io „port:445 !os:windows“ ukazuje přibližně jeden milion hostitelů mimo Windows, kteří mají tcp/445 otevřený pro internet, z nichž více než polovina existuje ve Spojených arabských emirátech (36 %) a v USA . (16 %). I když mnoho z nich může používat opravené verze, mít ochranu SELinux nebo jinak nesplňují nezbytná kritéria pro spuštění exploitu, možný útok na tuto zranitelnost je velký.
P.S. Zdá se, že oprava commitu v projektu SAMBA github je commit 02a76d86db0cbe79fcaf1a500630e24d961fa149
Většina z nás, kteří tam provozujeme servery Samba, je pravděpodobně provozuje uvnitř sítí LAN, za firewally a nevystavuje jejich porty přímo vnějšímu světu.
Byla by to hrozná praxe, pokud byste to udělali, a neomluvitelná, když existují jednoduchá, efektivní a bezplatná (jako v pivu a v řeči) VPN řešení, jako je OpenVPN. SMB nebylo navrženo s ohledem na otevřený internet (sakra, TCP/IP dokonce přišel jako dodatečná myšlenka v tomto protokolu) a mělo by se s ním tak zacházet. Dalším návrhem je spouštění pravidel brány firewall na skutečném hostiteli pro sdílení souborů, které na seznam povolených pouze místní (a případně VPN) síťové adresy na všech portech SMB (93 , 106 , 113 a 126 ).
Pokud to váš případ použití umožňuje, měli byste zvážit spuštění Samby bez oprávnění (například 133 uživatel, který není alias 144 ). Chápu, že není tak snadné spojit omezení NT ACL s POSIX ACL s tímto nastavením, ale pokud je to možné ve vašem konkrétním nastavení, je to správná cesta.
Konečně, i při takovém „uzamknutí“ je stále vhodné použít opravu, pokud můžete (protože existují NAS boxy, kde to nemusí být proveditelné), a vyzkoušet, zda váš konkrétní případ použití funguje s 159 nastavte na 167 .