Цю нову вразливість Samba вже називають "Sambacry", а сам експлойт згадує "Вічний червоний самба", оголошений у Twitter (сенсаційно) як:
Помилка Samba, односкладений метасплайт для запуску є просто: simple.create_pipe ("/ path / to / target.so")
Потенційно постраждалі версії Samba перебувають від Samba 3.5.0 до 4.5.4 / 4.5.10 / 4.4.14.
Якщо ваша установка Samba відповідає наведеним нижче конфігураціям, виправлення / оновлення слід виконати якнайшвидше, оскільки там вже є подвиги , інші експлуатації в модулях python та
metasploit .
Більш що цікаво, вже є доповнення до ноу приманки з приманок проекту, Діонея як до WannaCry і SambaCry плагінів .
Начебто Samba cry вже використовується (ab), що використовується для встановлення більшої кількості криптовалют "EternalMiner" або подвоєння в майбутньому як крапельниці шкідливих програм .
сотейники, створені командою дослідників з Лабораторії Касперського, захопили зловмисну програму, яка використовує вразливість SambaCry для зараження комп'ютерів Linux за допомогою програмного забезпечення для видобутку криптовалют. Інший дослідник безпеки, Омрі Бен Бассат, незалежно відкрив ту саму кампанію і назвав її "EternalMiner".
Рекомендоване рішення для систем із встановленою Samba (яка також присутня у повідомленні CVE) перед її оновленням додає до smb.conf:
nt pipe support = no
(і перезапуск служби Samba)
Це повинно вимкнути налаштування, яке вмикає / вимикає можливість здійснювати анонімне з'єднання з службою Windows IPC з назвою "Труби". Від man samba:
Ця глобальна опція використовується розробниками, щоб дозволити або заборонити клієнтам Windows NT / 2000 / XP можливість встановлювати з'єднання з NT-специфічними SMB IPC $ трубами. Як користувач, вам ніколи не потрібно буде змінювати за замовчуванням.
Однак, з нашого внутрішнього досвіду, здається, виправлення не сумісне зі старими? Версії Windows (принаймні деякі? Клієнти Windows 7, здається, не працюють з цим nt pipe support = no), і як такий спосіб виправлення може в крайньому випадку перейти до встановлення або навіть компіляції Samba.
Більш конкретно, це виправлення відключає лістинг акцій у клієнтів Windows, і якщо вони застосовуються, вони повинні вручну вказати повний шлях спільної доступу, щоб мати можливість ним користуватися.
Інший відомий спосіб вирішити питання про те, щоб переконатися, що акції Samba встановлені за допомогою noexecопції. Це запобіжить виконанню бінарних файлів, розміщених у змонтованій файловій системі.
Офіційний патч вихідного коду безпеки знаходиться тут на сторінці безпеки samba.org .
Debian вже вчора висунув (24/5) оновлення у двері та відповідне повідомлення безпеки DSA-3860-1 samba
Щоб перевірити, чи виправлена вразливість у Centos / RHEL / Fedora та похідних, виконайте:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Зараз існує nmapсценарій виявлення: samba-vuln-cve-2017-7494.nse для виявлення версій Samba або набагато кращого nmapсценарію, який перевіряє, чи служба вразлива на веб-сторінці http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , скопіюйте його /usr/share/nmap/scriptsта оновіть nmapбазу даних або запустіть її так:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Про довгострокові заходи щодо захисту служби SAMBA: Протокол SMB ніколи не повинен пропонуватись безпосередньо в Інтернеті.
Зрозуміло, що SMB завжди був складеним протоколом, і що такі послуги повинні бути зачинені та обмежені до внутрішніх мереж [до яких вони обслуговуються].
Коли потрібен віддалений доступ, або до домашньої, або спеціально до корпоративної мережі, ці звернення краще робити за допомогою технології VPN.
Як завжди, в цих ситуаціях принцип Unix лише встановлювати та активувати необхідні мінімальні послуги окупається.
Взяті з самого експлуатації:
Вічний подвиг червоної самби - CVE-2017-7494.
Викликає вразливий сервер Samba для завантаження спільної бібліотеки в кореневому контексті.
Ідентифікаційні дані не потрібні, якщо сервер має обліковий запис гостя.
Для віддаленого використання ви повинні мати дозволи на запис принаймні на одну спільну частину.
Вічний червоний сканує сервер Samba на предмет спільного доступу до нього. Це також визначить повний шлях віддаленої частки.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
Відомо також, що системи з включеним SELinux не вразливі до експлуатації.
Див. 7-річну невдачу Samba дозволяє хакерам віддалено отримувати доступ до тисяч ПК з ОС Linux
За інформацією комп'ютерної пошукової системи Shodan, понад 485 000 комп'ютерів з підтримкою Samba відкрили порт 445 в Інтернеті, а за даними дослідників Rapid7, понад 104 000 підключених до Інтернету кінцевих точок виявилися вразливими версіями Samba, з них 92 000 - запущені непідтримувані версії Samba.
Оскільки Samba - це протокол SMB, реалізований у системах Linux та UNIX, то деякі фахівці стверджують, що це "Linux версія EternalBlue", що використовується вимогами WannaCry.
... чи я повинен сказати SambaCry?
Маючи на увазі кількість вразливих систем та простоту експлуатації цієї вразливості, недолік Самба може бути використаний у великих масштабах із застосуванням можливостей.
Домашні мережі з приєднаними до мережі пристроями зберігання даних (NAS) [на яких також працює Linux] також можуть бути вразливими до цього недоліку.
Дивіться також Проблемна помилка для виконання коду ховається у Samba протягом 7 років. Патч зараз!
Семирічний недолік, індексований як CVE-2017-7494, може бути надійно використаний лише одним рядком коду для виконання шкідливого коду, якщо буде виконано кілька умов. Ці вимоги включають вразливі комп'ютери, які:
(a) зробити доступ 445 для спільного доступу до файлів та принтерів в Інтернеті,
(b) налаштувати спільні файли, щоб вони мали привілеї для запису, і
(c) використовувати відомі або доцільні шляхи до серверів для цих файлів.
Коли ці умови будуть виконані, віддалені зловмисники можуть завантажувати будь-який код за власним бажанням і змушувати сервер виконувати його, можливо, з невиправленими привілеями root, залежно від вразливої платформи.
Враховуючи легкість і надійність подвигів, цей отвір варто заткнути якнайшвидше. Це, мабуть, лише питання часу, поки зловмисники не почнуть активно націлювати на нього.
Також Rapid 7 - Patching CVE-2017-7494 у Samba: Це коло життя
І більше SambaCry: Linux Sequel to WannaCry .
Факти, які потрібно знати
CVE-2017-7494 має показник CVSS 7,5 (CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.
Сфера загрози
Запит shodan.io про "port: 445! Os: windows" показує приблизно один мільйон хостів, які не є Windows, відкриті для Інтернету tcp / 445, більше половини яких існує в Об'єднаних Арабських Еміратах (36%) та США (16%). Хоча багато з них можуть працювати з виправленими версіями, захищати SELinux або інакше не відповідають необхідним критеріям для запуску експлуатації, можлива поверхня атаки для цієї вразливості велика.
PS Виправлення фіксації в проекті github SAMBA здається виконувати 02a76d86db0cbe79fcaf1a500630e24d961fa149