Эта новая уязвимость в Samba уже называется «Sambacry», а сам эксплойт упоминает «Eternal Red Samba», объявленную в твиттере (сенсационно) как:
Ошибка Samba, метасплоит, который запускается в одну строку, просто: simple.create_pipe ("/ path / to / target.so")
Возможные версии Samba - от Samba 3.5.0 до 4.5.4 / 4.5.10 / 4.4.14.
Если ваша установка Samba соответствует конфигурациям, описанным ниже, исправление / обновление должно быть выполнено как можно скорее, поскольку уже существуют эксплойты , другие эксплойты в модулях python и
metasploit .
Более что интересно, уже есть дополнения к ноу приманке из приманок проекта, Дионея как к WannaCry и SambaCry плагинов .
Крик Samba, похоже, уже используется (ab) для установки большего количества крипто-майнеров «EternalMiner» или для удвоения в будущем вредоносного ПО .
Компания honeypots, созданная командой исследователей из «Лаборатории Касперского», запустила вредоносную кампанию, в которой используется уязвимость SambaCry для заражения компьютеров Linux программным обеспечением для майнинга криптовалют. Другой исследователь безопасности, Омри Бен Бассат, самостоятельно обнаружил эту же кампанию и назвал ее «EternalMiner».
Рекомендуемый обходной путь для систем с установленной Samba (который также присутствует в уведомлении CVE) перед его обновлением добавляет smb.conf
:
nt pipe support = no
(и перезапуск службы Samba)
Предполагается, что это отключит параметр, который включает / отключает возможность анонимных подключений к службе Windows IPC по имени каналы. От man samba
:
Этот глобальный параметр используется разработчиками, чтобы разрешить или запретить клиентам Windows NT / 2000 / XP возможность устанавливать подключения к конкретным для NT каналам SMB IPC $. Как пользователь, вам никогда не нужно отменять настройки по умолчанию.
Однако из нашего внутреннего опыта кажется, что это исправление несовместимо со старыми? Версии Windows (по крайней мере, некоторые клиенты Windows 7, похоже, не работают с ними nt pipe support = no
), и в этом случае путь исправления может пойти в крайних случаях на установку или даже сборку Samba.
В частности, это исправление отключает список общих ресурсов в клиентах Windows, и, если они применяются, они должны вручную указывать полный путь к общему ресурсу, чтобы иметь возможность его использовать.
Другой известный обходной путь - убедиться, что общие ресурсы Samba подключены с этой noexec
опцией. Это предотвратит выполнение двоичных файлов, находящихся в смонтированной файловой системе.
Официальный патч исходного кода безопасности находится здесь со страницы безопасности samba.org .
Вчера (24/5) Debian уже выпустил обновление, и соответствующее уведомление о безопасности DSA-3860-1 samba
Чтобы проверить, исправлена ли уязвимость в Centos / RHEL / Fedora и произведена ли она, выполните:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Теперь есть nmap
сценарий обнаружения: samba-vuln-cve-2017-7494.nse
для обнаружения версий Samba или гораздо лучший nmap
сценарий, который проверяет, уязвим ли сервис, по адресу http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve. -2017-7494.nse , скопируйте /usr/share/nmap/scripts
и обновите nmap
базу данных или запустите ее следующим образом:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
О долгосрочных мерах по защите сервиса SAMBA: протокол SMB никогда не должен предлагаться напрямую Интернету в целом.
Само собой разумеется, что SMB всегда был запутанным протоколом, и что такого рода услуги должны быть защищены и ограничены внутренними сетями [которым они обслуживаются].
Когда требуется удаленный доступ, будь то дома или специально к корпоративным сетям, такой доступ лучше выполнять с использованием технологии VPN.
Как обычно, в таких ситуациях принцип Unix, заключающийся в установке и активации только минимального количества необходимых сервисов, оправдывает себя.
Взято из самого эксплойта:
Вечная красная самба эксплойт - CVE-2017-7494.
Заставляет уязвимый сервер Samba загружать общую библиотеку в корневой контекст.
Учетные данные не требуются, если на сервере есть гостевая учетная запись.
Для удаленного использования у вас должны быть права на запись хотя бы в одну папку.
Eternal Red просканирует сервер Samba на наличие общих ресурсов, которые он может записать. Это также определит полный путь удаленного общего ресурса.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
Также известно, что системы с включенным SELinux не уязвимы для эксплойта.
Посмотрите, как семилетняя ошибка Samba позволяет хакерам получать удаленный доступ к тысячам компьютеров Linux
По данным поисковой системы Shodan, более 485 000 компьютеров с поддержкой Samba открыли порт 445 в Интернете, и, по мнению исследователей из Rapid7, более 104 000 конечных точек, подключенных к Интернету, работают с уязвимыми версиями Samba, из которых 92 000 являются запуск неподдерживаемых версий Samba.
Поскольку Samba является протоколом SMB, реализованным в системах Linux и UNIX, некоторые эксперты говорят, что это «версия EternalBlue для Linux», используемая вымогателями WannaCry.
... или я должен сказать SambaCry?
Принимая во внимание количество уязвимых систем и простоту использования этой уязвимости, недостаток Samba может быть использован в широких масштабах с ужасными возможностями.
Домашние сети с сетевыми устройствами хранения данных (которые также работают под управлением Linux) также могут быть уязвимы для этого недостатка.
См. Также Ошибка в выполнении кодов в Samba скрывается в течение 7 лет. Патч сейчас!
Семилетний недостаток, индексированный как CVE-2017-7494, может быть надежно использован всего лишь одной строкой кода для выполнения вредоносного кода, если выполняются несколько условий. Эти требования включают уязвимые компьютеры, которые:
(a) сделать порт 445 общего доступа к файлам и принтерам доступным в Интернете,
(b) настроить совместно используемые файлы, чтобы иметь права на запись, и
(c) использовать известные или предполагаемые пути к серверам для этих файлов.
Когда эти условия выполнены, удаленные злоумышленники могут загрузить любой код по своему выбору и заставить сервер выполнить его, возможно, с неограниченными привилегиями root, в зависимости от уязвимой платформы.
Учитывая легкость и надежность эксплойтов, эту дыру стоит закрыть как можно скорее. Вероятно, это лишь вопрос времени, когда злоумышленники начнут активно атаковать его.
Также Rapid 7 - патч CVE-2017-7494 в Samba: это круг жизни
И еще SambaCry: продолжение Linux для WannaCry .
Нужно знать факты
CVE-2017-7494 имеет оценку CVSS 7,5 (CVSS: 3,0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.
Область угрозы
Запрос shodan.io «port: 445! Os: windows» показывает около миллиона хостов, отличных от Windows, с tcp / 445, открытым для Интернета, более половины из которых существует в Объединенных Арабских Эмиратах (36%) и США (16%). Хотя многие из них могут работать с исправленными версиями, иметь защиту SELinux или иным образом не соответствовать необходимым критериям для запуска эксплойта, возможная поверхность атаки для этой уязвимости велика.
PS Исправление коммита в github-проекте SAMBA представляется коммитом 02a76d86db0cbe79fcaf1a500630e24d961fa149