«WannaCry» в системах Linux: Як ви захищаєте себе?


73

Відповідно до статті quick7, є кілька вразливих версій Samba, що дозволяють віддалене виконання коду в системах Linux:

Незважаючи на те, що викупний черв'як WannaCry вплинув на системи Windows і його легко було ідентифікувати, з чіткими кроками виправлення, вразливість Samba вплине на системи Linux та Unix і може створити значні технічні перешкоди для отримання або розгортання відповідних виправлень.

CVE-2017-7494

Всі версії Samba від 3.5.0 і більше вразливі до віддаленої вразливості виконання коду, що дозволяє зловмисному клієнту завантажувати спільну бібліотеку на доступ до запису, а потім змушує сервер завантажувати та виконувати її.

Можливий сценарій нападу:

Починаючи з двох факторів:

  • Уразливість Samba ще не виправлена в деяких дистрибутивах Linux.
  • На деяких версіях ядра Linux існує незашифрована локальна вразливість ескалації привілеїв (наприклад, CVE-2017-7308 на загальному ядрі Ubuntu 4.8.0-41).

Зловмисник може отримати доступ до машини Linux та отримати привілеї, використовуючи локальну вразливість експлуатувати, щоб отримати кореневий доступ та встановити можливе майбутнє програмне забезпечення, подібне до цього знущається з викупу WannaCry для Linux .

Оновлення

Найновіша стаття "Попередження! Хакери, розпочаті з використання" Fba SambaCry "для злому Linux Linux", демонструють, як використовувати недолік Sambacry для зараження машини Linux.

Прогноз виявився досить точним, оскільки медові горщики, створені командою дослідників з Лабораторії Касперського , захопили зловмисну ​​програму, яка використовує вразливість SambaCry для інфікування комп'ютерів Linux з програмним забезпеченням майнінгу криптовалют.

Інший дослідник безпеки, Омрі Бен Бассат, незалежно відкрив ту саму кампанію і назвав її "ВічнимМайнером" .

За словами дослідників, невідома група хакерів почала викрадення комп'ютерів Linux лише через тиждень після розкриття вади Samba і встановлення оновленої версії "CPUminer", програмного забезпечення для майнінгу криптовалют, яке видобуває цифрову валюту "Monero".

Після компрометування вразливих машин, що використовують вразливість SambaCry, зловмисники виконують два корисні навантаження на цільових системах:

INAebsGB.so - зворотна оболонка, що забезпечує віддалений доступ до зловмисників.

cblRWuoCc.so - бекдор, який включає утиліти для видобутку криптовалют - CPUminer.

Звіт TrendLab, опублікований 18 липня 2017 року: користувачів Linux закликали оновити як нову загрозу, використовує SambaCry

Як захистити систему Linux, щоб запобігти нападу?


22
WannaCry - це програмне забезпечення для Windows. Універсальний вірус може бути написаний, використовуючи цю непов’язану проблему з цією незв'язаною реалізацією того ж протоколу, але це не має нічого спільного зі шкідливим програмним забезпеченням Windows. Це посилання, яке ви надаєте WannaCry для Linux, - це хитрощі, оскільки знежирюючи джерело, це виглядає як вихід з якогось графічного програмного забезпечення "зробіть свій власний гуй", без будь-якої фактичної програми, а не графічного інтерфейсу, який нічого не робить.
Ніхто

2
@ GAD3R, використовуючи мій iPhone в режимі Google Translate / камера, коментарі китайською мовою кажуть, що джерело не є повним. Я б радив переробити питання навколо CVE, видалити посилання github, а не про викупне програмне забезпечення, яке досі не існує; або якщо ви все ще хочете обійти цю ідею, зробити це явним посиланням github є лише макетом цієї ідеї
Rui F Ribeiro

8
@ GAD3R Так, якщо хтось може отримати доступ до моєї системи віддалено з високими привілеями, набагато менше болю просто використовувати рідні утиліти Linux для шифрування мого жорсткого диска, а також записати інтерфейс QT, подібний до цього, на підмову. Всі фактичні можливості (тобто розповсюдження) WannaCry залежать від подвигів Windows. Згадування про "WannaCry" - це клацання кліків, чисте і просте.
Ніхто

6
@Nobody Якщо бути справедливим, я вважаю, що ОП є добросовісною і не усвідомлює, що це просто GUI; ми не уродженці Китаю, щоб читати коментарі, і, як він сам каже, він не дуже вміє читати вихідний код; ІМО, паралелі між двома вразливими місцями, даючи терміни, також є відповідними. Дайте йому трохи промахуватися. Тим не менш, наслідки роботи CVE самі по собі викликають занепокоєння.
Rui F Ribeiro

3
ІМО я б не рекомендував закривати питання, якщо хтось має іншу ідею, продовжуйте. Я переробив текст питання для нього, не кажучи вже про викупне програмне забезпечення, яке ще не було зроблено. Проблема, яку я згадую, була, принаймні, корисною у спадщині, яку ми все ще маємо.
Rui F Ribeiro

Відповіді:


102

Цю нову вразливість Samba вже називають "Sambacry", а сам експлойт згадує "Вічний червоний самба", оголошений у Twitter (сенсаційно) як:

Помилка Samba, односкладений метасплайт для запуску є просто: simple.create_pipe ("/ path / to / target.so")

Потенційно постраждалі версії Samba перебувають від Samba 3.5.0 до 4.5.4 / 4.5.10 / 4.4.14.

Якщо ваша установка Samba відповідає наведеним нижче конфігураціям, виправлення / оновлення слід виконати якнайшвидше, оскільки там вже є подвиги , інші експлуатації в модулях python та metasploit .

Більш що цікаво, вже є доповнення до ноу приманки з приманок проекту, Діонея як до WannaCry і SambaCry плагінів .

Начебто Samba cry вже використовується (ab), що використовується для встановлення більшої кількості криптовалют "EternalMiner" або подвоєння в майбутньому як крапельниці шкідливих програм .

сотейники, створені командою дослідників з Лабораторії Касперського, захопили зловмисну ​​програму, яка використовує вразливість SambaCry для зараження комп'ютерів Linux за допомогою програмного забезпечення для видобутку криптовалют. Інший дослідник безпеки, Омрі Бен Бассат, незалежно відкрив ту саму кампанію і назвав її "EternalMiner".

Рекомендоване рішення для систем із встановленою Samba (яка також присутня у повідомленні CVE) перед її оновленням додає до smb.conf:

nt pipe support = no

(і перезапуск служби Samba)

Це повинно вимкнути налаштування, яке вмикає / вимикає можливість здійснювати анонімне з'єднання з службою Windows IPC з назвою "Труби". Від man samba:

Ця глобальна опція використовується розробниками, щоб дозволити або заборонити клієнтам Windows NT / 2000 / XP можливість встановлювати з'єднання з NT-специфічними SMB IPC $ трубами. Як користувач, вам ніколи не потрібно буде змінювати за замовчуванням.

Однак, з нашого внутрішнього досвіду, здається, виправлення не сумісне зі старими? Версії Windows (принаймні деякі? Клієнти Windows 7, здається, не працюють з цим nt pipe support = no), і як такий спосіб виправлення може в крайньому випадку перейти до встановлення або навіть компіляції Samba.

Більш конкретно, це виправлення відключає лістинг акцій у клієнтів Windows, і якщо вони застосовуються, вони повинні вручну вказати повний шлях спільної доступу, щоб мати можливість ним користуватися.

Інший відомий спосіб вирішити питання про те, щоб переконатися, що акції Samba встановлені за допомогою noexecопції. Це запобіжить виконанню бінарних файлів, розміщених у змонтованій файловій системі.

Офіційний патч вихідного коду безпеки знаходиться тут на сторінці безпеки samba.org .

Debian вже вчора висунув (24/5) оновлення у двері та відповідне повідомлення безпеки DSA-3860-1 samba

Щоб перевірити, чи виправлена ​​вразливість у Centos / RHEL / Fedora та похідних, виконайте:

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

Зараз існує nmapсценарій виявлення: samba-vuln-cve-2017-7494.nse для виявлення версій Samba або набагато кращого nmapсценарію, який перевіряє, чи служба вразлива на веб-сторінці http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , скопіюйте його /usr/share/nmap/scriptsта оновіть nmapбазу даних або запустіть її так:

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

Про довгострокові заходи щодо захисту служби SAMBA: Протокол SMB ніколи не повинен пропонуватись безпосередньо в Інтернеті.

Зрозуміло, що SMB завжди був складеним протоколом, і що такі послуги повинні бути зачинені та обмежені до внутрішніх мереж [до яких вони обслуговуються].

Коли потрібен віддалений доступ, або до домашньої, або спеціально до корпоративної мережі, ці звернення краще робити за допомогою технології VPN.

Як завжди, в цих ситуаціях принцип Unix лише встановлювати та активувати необхідні мінімальні послуги окупається.

Взяті з самого експлуатації:

Вічний подвиг червоної самби - CVE-2017-7494.
Викликає вразливий сервер Samba для завантаження спільної бібліотеки в кореневому контексті.
Ідентифікаційні дані не потрібні, якщо сервер має обліковий запис гостя.
Для віддаленого використання ви повинні мати дозволи на запис принаймні на одну спільну частину.
Вічний червоний сканує сервер Samba на предмет спільного доступу до нього. Це також визначить повний шлях віддаленої частки.

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

Відомо також, що системи з включеним SELinux не вразливі до експлуатації.

Див. 7-річну невдачу Samba дозволяє хакерам віддалено отримувати доступ до тисяч ПК з ОС Linux

За інформацією комп'ютерної пошукової системи Shodan, понад 485 000 комп'ютерів з підтримкою Samba відкрили порт 445 в Інтернеті, а за даними дослідників Rapid7, понад 104 000 підключених до Інтернету кінцевих точок виявилися вразливими версіями Samba, з них 92 000 - запущені непідтримувані версії Samba.

Оскільки Samba - це протокол SMB, реалізований у системах Linux та UNIX, то деякі фахівці стверджують, що це "Linux версія EternalBlue", що використовується вимогами WannaCry.

... чи я повинен сказати SambaCry?

Маючи на увазі кількість вразливих систем та простоту експлуатації цієї вразливості, недолік Самба може бути використаний у великих масштабах із застосуванням можливостей.

Домашні мережі з приєднаними до мережі пристроями зберігання даних (NAS) [на яких також працює Linux] також можуть бути вразливими до цього недоліку.

Дивіться також Проблемна помилка для виконання коду ховається у Samba протягом 7 років. Патч зараз!

Семирічний недолік, індексований як CVE-2017-7494, може бути надійно використаний лише одним рядком коду для виконання шкідливого коду, якщо буде виконано кілька умов. Ці вимоги включають вразливі комп'ютери, які:

(a) зробити доступ 445 для спільного доступу до файлів та принтерів в Інтернеті,
(b) налаштувати спільні файли, щоб вони мали привілеї для запису, і
(c) використовувати відомі або доцільні шляхи до серверів для цих файлів.

Коли ці умови будуть виконані, віддалені зловмисники можуть завантажувати будь-який код за власним бажанням і змушувати сервер виконувати його, можливо, з невиправленими привілеями root, залежно від вразливої ​​платформи.

Враховуючи легкість і надійність подвигів, цей отвір варто заткнути якнайшвидше. Це, мабуть, лише питання часу, поки зловмисники не почнуть активно націлювати на нього.

Також Rapid 7 - Patching CVE-2017-7494 у Samba: Це коло життя

І більше SambaCry: Linux Sequel to WannaCry .

Факти, які потрібно знати

CVE-2017-7494 має показник CVSS 7,5 (CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.

Сфера загрози

Запит shodan.io про "port: 445! Os: windows" показує приблизно один мільйон хостів, які не є Windows, відкриті для Інтернету tcp / 445, більше половини яких існує в Об'єднаних Арабських Еміратах (36%) та США (16%). Хоча багато з них можуть працювати з виправленими версіями, захищати SELinux або інакше не відповідають необхідним критеріям для запуску експлуатації, можлива поверхня атаки для цієї вразливості велика.

PS Виправлення фіксації в проекті github SAMBA здається виконувати 02a76d86db0cbe79fcaf1a500630e24d961fa149


2
Будь ласка. Я додам, що у своєму часовому поясі я діяв у повідомленні про безпеку Debian вчора близько 9:00
Rui F Ribeiro

6
Однак, на відміну від Windows, у більшості дистрибутивів Linux Samba за замовчуванням не ввімкнено?
Рафаель

1
@raphael Дійсно, але якщо я отримав копійку за кожен сервер, який я знайшов, із встановленим повним набором основних DVD-дисків ... я трохи відредагував відповідь, щоб вирішити цю ідею.
Rui F Ribeiro

9
Наскільки я можу сказати, що сценарій nmap просто перевіряє версію samba, а не якщо ви вразливі. AFAICT, щоб використовувати вразливість, потрібно мати можливість завантажувати файли на сервер. Тож вразливість ніде не є такою серйозною, як у Eternalblue Windows. Якщо ви дозволяєте завантажувати файли через Інтернет без автентифікації, у вас виникає проблема, вразлива самба чи ні.
Стефан Шазелас

1
@ StéphaneChazelas дякую, я ще не встиг перевірити сценарій
Rui F Ribeiro

21

Більшість із нас, що працюють із серверами Samba там, ймовірно, працюють у локальних мережах, за брандмауерами та не піддають своїх портів безпосередньо зовнішньому світу.

Це було б жахливою практикою, якби ви це зробили, і невиправданим, коли існують прості, ефективні та безкоштовні (як у пиві, так і в мовленні) рішення VPN, як OpenVPN навколо. SMB не розроблявся з відкритим Інтернетом на увазі (чорт, TCP / IP навіть прийшов до уваги в цьому протоколі), і до нього слід ставитися як до такого. Додаткова пропозиція працює правило брандмауера на хості фактичного загального доступу до файлів , які біле тільки локального (і в кінці кінців VPN) АДРЕСА мережі на всі порти SMB ( 139/TCP, 445/TCP, 137/UDPі 138/UDP).

Крім того, якщо ваш випадок використання дозволяє, вам слід розглянути можливість використання Samba непривілейованим (як, скажімо, sambaкористувач, який не є псевдонімом root). Я розумію, що з цим налаштуванням не так просто одружувати обмеження NT ACL з POSIX ACL, але якщо це можливо зробити у вашій конкретній програмі, це шлях.

Нарешті, навіть з таким «Lockdown» це все-таки бажано застосувати патч , якщо ви можете (бо є NAS коробки там , де це може бути не доцільно), а також перевірити , якщо ваш конкретний випадок використання працює з nt pipe supportнабором для no.


4
"Це доступно лише в інтрамережі" - це, мабуть, те, про що думали деякі адміністратори в компаніях, де WannaCry поширила свою думку.
Carsten S
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.