De acordo com um artigo do rapid7, existem algumas versões vulneráveis do Samba que permitem a execução remota de código nos sistemas Linux:
Embora o ransomworm do WannaCry tenha impactado os sistemas Windows e seja facilmente identificável, com etapas claras de correção, a vulnerabilidade do Samba afetará os sistemas Linux e Unix e poderá apresentar obstáculos técnicos significativos para obter ou implantar correções apropriadas.
Todas as versões do Samba a partir do 3.5.0 são vulneráveis a uma vulnerabilidade de execução remota de código, permitindo que um cliente mal-intencionado carregue uma biblioteca compartilhada em um compartilhamento gravável e faça com que o servidor carregue e execute-o.
Possível cenário de ataque:
Começando pelos dois fatores:
- A vulnerabilidade do Samba ainda não foi corrigida em algumas distribuições do Linux.
- Há uma vulnerabilidade de escalonamento de privilégios locais não corrigida em algumas versões do kernel do Linux (por exemplo, CVE-2017-7308 no kernel do Ubuntu 4.8.0-41 genérico).
Um invasor pode acessar uma máquina Linux e elevar privilégios usando uma vulnerabilidade de exploração local para obter acesso root e instalar um possível ramsomware futuro, semelhante a esse ransomware WannaCry para Linux .
Atualizar
Um artigo mais recente "Aviso! Os hackers começaram a usar o" SambaCry Flaw "para invadir sistemas Linux" demonstram como usar o Sambacry para infectar uma máquina Linux.
A previsão mostrou-se bastante precisa, pois os honeypots criados pela equipe de pesquisadores da Kaspersky Lab capturaram uma campanha de malware que está explorando a vulnerabilidade do SambaCry para infectar computadores Linux com software de mineração de criptomoedas.
Outro pesquisador de segurança, Omri Ben Bassat, descobriu independentemente a mesma campanha e a nomeou "EternalMiner" .
Segundo os pesquisadores, um grupo desconhecido de hackers começou a seqüestrar PCs Linux apenas uma semana depois que a falha do Samba foi divulgada publicamente e a instalar uma versão atualizada do "CPUminer", um software de mineração de criptomoeda que explora a moeda digital "Monero".
Após comprometer as máquinas vulneráveis usando a vulnerabilidade SambaCry, os atacantes executam duas cargas úteis nos sistemas de destino:
INAebsGB.so - um shell reverso que fornece acesso remoto aos atacantes.
cblRWuoCc.so - Um backdoor que inclui utilitários de mineração de criptomoedas - CPUminer.
Relatório do TrendLab publicado em 18 de julho de 2017: Usuários do Linux instados a atualizar como uma nova ameaça explora o SambaCry
Como faço para proteger um sistema Linux para evitar ser atacado?
fonte
Respostas:
Essa nova vulnerabilidade do Samba já está sendo chamada "Sambacry", enquanto a própria exploração menciona "Eternal Red Samba", anunciado no twitter (sensacionalmente) como:
As versões potencialmente afetadas do Samba são do Samba 3.5.0 a 4.5.4 / 4.5.10 / 4.4.14.
Se a sua instalação do Samba atender às configurações descritas abaixo, a correção / atualização deve ser feita o mais rápido possível, pois já existem explorações , outras explorações nos módulos python e metasploit por aí.
O mais interessante é que já existem complementos para um honeypot conhecido do projeto honeynet , dionaea para os plug-ins WannaCry e SambaCry .
O grito de samba parece já estar sendo (ab) usado para instalar mais mineradores de criptografia "EternalMiner" ou dobrar como um conta-gotas de malware no futuro .
A solução alternativa recomendada para sistemas com o Samba instalado (que também está presente no aviso do CVE) antes de atualizá-lo, está adicionando
smb.conf
:(e reiniciando o serviço Samba)
Isso deve desabilitar uma configuração que ativa / desativa a capacidade de fazer conexões anônimas ao serviço de pipes nomeados do IPC do Windows. De
man samba
:No entanto, a partir de nossa experiência interna, parece que a correção não é compatível com as mais antigas? Versões do Windows (pelo menos alguns clientes do Windows 7 parecem não funcionar com o
nt pipe support = no
) e, como tal, a rota de correção pode ir em casos extremos para instalar ou mesmo compilar o Samba.Mais especificamente, essa correção desabilita a listagem de compartilhamentos de clientes Windows e, se aplicada, eles precisam especificar manualmente o caminho completo do compartilhamento para poder usá-lo.
Outra solução conhecida é garantir que os compartilhamentos do Samba estejam montados com a
noexec
opção Isso impedirá a execução de binários residentes no sistema de arquivos montado.O patch oficial do código fonte de segurança está aqui na página de segurança do samba.org .
O Debian já lançou ontem (24/5) uma atualização e o aviso de segurança correspondente DSA-3860-1 samba
Para verificar se a vulnerabilidade foi corrigida no Centos / RHEL / Fedora e derivados, faça:
Agora existe um
nmap
script de detecção:samba-vuln-cve-2017-7494.nse
para detectar versões do Samba, ou umnmap
script muito melhor que verifica se o serviço está vulnerável em http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , copie-o/usr/share/nmap/scripts
e atualize onmap
banco de dados ou execute-o da seguinte maneira:Sobre medidas de longo prazo para proteger o serviço SAMBA: O protocolo SMB nunca deve ser oferecido diretamente à Internet em geral.
Também não é preciso dizer que o SMB sempre foi um protocolo complicado e que esse tipo de serviço deve ser protegido por firewall e restrito às redes internas [às quais estão sendo servidos].
Quando o acesso remoto é necessário, tanto em casa quanto em redes corporativas, esses acessos devem ser melhor realizados com a tecnologia VPN.
Como sempre, nessas situações, o princípio Unix de apenas instalar e ativar os serviços mínimos necessários compensa.
Retirado da própria exploração:
Também é conhecido que os sistemas com o SELinux ativado não são vulneráveis à exploração.
Veja falha de samba de 7 anos permite que hackers acessem milhares de PCs Linux remotamente
Veja também Um bug de execução de código que se esconde no Samba há 7 anos. Patch agora!
Também Rapid 7 - Patching CVE-2017-7494 no Samba: É o Círculo da Vida
E mais SambaCry: o Linux Sequel to WannaCry .
PS A correção de confirmação no projeto do github SAMBA parece estar em execução 02a76d86db0cbe79fcaf1a500630e24d961fa149
fonte
A maioria de nós executando servidores Samba por aí provavelmente o está executando dentro de LANs, atrás de firewalls e não expõe suas portas diretamente para o mundo externo.
Seria uma prática terrível se você o fizesse e indesculpável quando houver soluções VPN simples, eficazes e gratuitas (como na cerveja e na fala) como o OpenVPN. O SMB não foi projetado com a Internet aberta em mente (diabos, o TCP / IP chegou como uma reflexão tardia nesse protocolo) e deve ser tratado como tal. Sugestão adicional está sendo executado regras de firewall no host de compartilhamento de arquivos real que whitelist endereços de rede única locais (e, eventualmente, VPN) em todas as portas SMB (
139/TCP
,445/TCP
,137/UDP
e138/UDP
).Além disso, se o seu caso de uso permitir, considere executar o Samba sem privilégios (como, digamos,
samba
usuário que não seja o apelido deroot
). Entendo que não é tão fácil casar limitações de ACLs NT com ACLs POSIX com essa configuração, mas se for possível fazer isso em sua configuração específica, é o caminho a seguir.Finalmente, mesmo com esse "bloqueio", ainda é aconselhável aplicar um patch, se possível (porque existem caixas NAS por aí onde isso pode não ser possível) e testar se o seu caso de uso específico funciona como
nt pipe support
definidono
.fonte