Bạn có thể tự bảo vệ mình trên hệ thống Linux: Làm thế nào để bạn tự bảo vệ mình?


73

Theo một bài viết trên Rapid7, có một số phiên bản Samba dễ bị tấn công cho phép thực thi mã từ xa trên các hệ thống Linux:

Mặc dù ransomworm WannaCry đã tác động đến các hệ thống Windows và có thể dễ dàng xác định, với các bước khắc phục rõ ràng, lỗ hổng Samba sẽ tác động đến các hệ thống Linux và Unix và có thể gây ra những trở ngại kỹ thuật quan trọng trong việc thu thập hoặc triển khai các biện pháp khắc phục phù hợp.

CVE-2017-7494

Tất cả các phiên bản Samba từ 3.5.0 trở đi đều dễ bị lỗ hổng thực thi mã từ xa, cho phép khách hàng độc hại tải thư viện chia sẻ lên chia sẻ có thể ghi và sau đó khiến máy chủ tải và thực thi nó.

Kịch bản tấn công có thể xảy ra:

Bắt đầu từ hai yếu tố:

  • Lỗ hổng Samba chưa được sửa chữa trên một số bản phân phối Linux.
  • Có một lỗ hổng leo thang đặc quyền cục bộ không được vá trên một số phiên bản nhân Linux (ví dụ: CVE-2017-7308 trên kernel Ubuntu chung 4.8.0-41).

Kẻ tấn công có thể truy cập vào máy Linux và nâng cao các đặc quyền bằng cách sử dụng lỗ hổng khai thác cục bộ để có quyền truy cập root và cài đặt một phần mềm ramsomware trong tương lai, tương tự như phần mềm ransomware WannaCry giả lập này cho Linux .

Cập nhật

Một bài viết mới nhất "Cảnh báo! Các hacker bắt đầu sử dụng" Lỗ hổng SambaCry "để hack các hệ thống Linux" trình bày cách sử dụng lỗ hổng Sambacry để lây nhiễm máy linux.

Dự đoán được đưa ra khá chính xác, vì honeypots do nhóm các nhà nghiên cứu từ Kaspersky Lab thiết lập đã bắt được một chiến dịch phần mềm độc hại đang khai thác lỗ hổng SambaCry để lây nhiễm máy tính Linux bằng phần mềm khai thác tiền điện tử.

Một nhà nghiên cứu bảo mật khác, Omri Ben Bassat, đã độc lập phát hiện ra cùng một chiến dịch và đặt tên cho nó là "EternalMiner" .

Theo các nhà nghiên cứu, một nhóm tin tặc không xác định đã bắt đầu chiếm quyền điều khiển máy tính Linux chỉ một tuần sau khi lỗ hổng Samba được tiết lộ công khai và cài đặt phiên bản nâng cấp của "CPUminer", một phần mềm khai thác tiền điện tử khai thác tiền kỹ thuật số "Monero".

Sau khi thỏa hiệp các máy dễ bị tổn thương bằng lỗ hổng SambaCry, kẻ tấn công thực hiện hai tải trọng trên các hệ thống được nhắm mục tiêu:

INAebsGB.so - Một lớp vỏ ngược cung cấp quyền truy cập từ xa cho những kẻ tấn công.

cblRWuoCc.so - Một cửa hậu bao gồm các tiện ích khai thác tiền điện tử - CPUminer.

Báo cáo TrendLab được đăng vào ngày 18 tháng 7 năm 2017: Người dùng Linux mong muốn cập nhật như một mối đe dọa mới khai thác SambaCry

Làm cách nào để bảo mật hệ thống Linux để tránh bị tấn công?


22
WannaCry là phần mềm độc hại Windows. Một virus unix có thể được viết bằng cách khai thác vấn đề không liên quan này với việc triển khai cùng một giao thức không liên quan này, nhưng điều này không liên quan gì đến phần mềm độc hại của windows. Liên kết này bạn cung cấp cho WannaCry cho Linux là một trò lừa bịp, từ việc lướt qua nguồn, nó trông giống như đầu ra từ một số đồ họa "tạo gui của riêng bạn", không có bất kỳ chương trình thực tế nào ngoài GUI không có gì.
Không ai vào

2
@ GAD3R sử dụng iPhone của tôi với chế độ Google Dịch / máy ảnh, các nhận xét bằng tiếng Trung nói thực sự nguồn không đầy đủ. Tôi sẽ khuyên làm lại câu hỏi xung quanh CVE, xóa liên kết github chứ không phải về ransomware vẫn không tồn tại; hoặc nếu bạn vẫn muốn giải quyết ý tưởng đó, làm cho nó rõ ràng liên kết github chỉ là một sự nhạo báng ý tưởng đó
Rui F Ribeiro

8
@ GAD3R Vâng, nếu ai đó có thể truy cập hệ thống của tôi từ xa với các đặc quyền cao, sẽ không khó để sử dụng các tiện ích Linux gốc để mã hóa ổ cứng của tôi và viết GUI GUI như thế trong trò lừa bịp. Tất cả các tính năng thực tế (tức là lan rộng) của WannaCry phụ thuộc vào khai thác của Windows. Nhắc đến "WannaCry" là nhấp chuột, thuần túy và đơn giản.
Không ai vào

6
@Nobody Để đủ công bằng, tôi tin rằng OP có thiện chí và không nhận thức được nó chỉ là một GUI; chúng tôi không phải là người bản địa Trung Quốc để đọc các bình luận và như chính anh ấy nói, anh ấy không thành thạo đọc mã nguồn; IMO tương đồng giữa hai lỗ hổng, đưa ra thời gian cũng phù hợp. Cho nó một chút chùng. Tuy nhiên, ý nghĩa của CVE là đáng lo ngại.
Rui F Ribeiro

3
IMO Tôi không khuyên bạn nên đóng câu hỏi, nếu ai đó có ý tưởng khác, hãy tiếp tục. Tôi đã làm lại văn bản câu hỏi cho nó không đề cập đến một ransomware chưa được thực hiện. Cách giải quyết mà tôi đề cập ít nhất là hữu ích trong một hệ thống cũ mà chúng ta vẫn có.
Rui F Ribeiro

Câu trả lời:


102

Lỗ hổng mới Samba này đã được gọi là "Sambacry", trong khi bản khai thác đề cập đến "Eternal Red Samba", được công bố trên twitter (theo cảm tính) là:

Lỗi Samba, metasploit one-liner để kích hoạt chỉ là: simple.create_pipe ("/ path / to / target.so")

Các phiên bản Samba có khả năng bị ảnh hưởng là từ Samba 3.5.0 đến 4.5.4 / 4.5.10 / 4.4.14.

Nếu cài đặt Samba của bạn đáp ứng các cấu hình được mô tả dưới đây, việc sửa chữa / nâng cấp nên được thực hiện càng sớm càng tốt vì đã có khai thác , khai thác khác trong các mô-đun pythonmetasploit ngoài kia.

Nhiều thú vị đủ, đã có add-ons để một honeypot bí quyết từ Honeynet dự án, dionaea cả WannaCry và SambaCry plug-ins .

Samba khóc dường như đã được (ab) sử dụng để cài đặt thêm các công cụ khai thác tiền điện tử "EternalMiner" hoặc nhân đôi thành một phần mềm độc hại trong tương lai .

honeypots được thiết lập bởi nhóm các nhà nghiên cứu từ Kaspersky Lab đã nắm bắt được một chiến dịch phần mềm độc hại đang khai thác lỗ hổng SambaCry để lây nhiễm các máy tính Linux bằng phần mềm khai thác tiền điện tử. Một nhà nghiên cứu bảo mật khác, Omri Ben Bassat, đã độc lập phát hiện ra cùng một chiến dịch và đặt tên cho nó là "EternalMiner".

Giải pháp được tư vấn cho các hệ thống đã cài đặt Samba (cũng có trong thông báo CVE) trước khi cập nhật, đang thêm vào smb.conf:

nt pipe support = no

(và khởi động lại dịch vụ Samba)

Điều này được cho là vô hiệu hóa một cài đặt bật / tắt khả năng thực hiện các kết nối ẩn danh với dịch vụ đường ống có tên IPC. Từ man samba:

Tùy chọn toàn cầu này được các nhà phát triển sử dụng để cho phép hoặc không cho phép các máy khách Windows NT / 2000 / XP có khả năng tạo kết nối với các ống SMB IPC $ dành riêng cho NT. Là người dùng, bạn không bao giờ cần ghi đè mặc định.

Tuy nhiên từ kinh nghiệm nội bộ của chúng tôi, có vẻ như bản sửa lỗi không tương thích với bản cũ? Các phiên bản Windows (ít nhất là một số máy khách Windows 7 dường như không hoạt động với nt pipe support = no) và do đó, lộ trình khắc phục có thể trong các trường hợp cực đoan trong việc cài đặt hoặc thậm chí biên dịch Samba.

Cụ thể hơn, sửa lỗi này vô hiệu hóa danh sách chia sẻ từ các máy khách Windows và nếu được áp dụng, họ phải chỉ định thủ công đường dẫn chia sẻ đầy đủ để có thể sử dụng nó.

Cách giải quyết khác được biết là đảm bảo cổ phiếu Samba được gắn với noexectùy chọn. Điều này sẽ ngăn việc thực thi các nhị phân nằm trong hệ thống tệp được gắn.

Bản vá mã nguồn bảo mật chính thức có ở đây từ trang bảo mật samba.org .

Debian đã đẩy ngày hôm qua (24/5) ra một bản cập nhật và thông báo bảo mật tương ứng DSA-3860-1 samba

Để xác minh xem lỗ hổng có được sửa trong Centos / RHEL / Fedora và các dẫn xuất hay không, hãy làm:

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

Hiện tại đã có nmaptập lệnh phát hiện: samba-vuln-cve-2017-7494.nse để phát hiện các phiên bản Samba hoặc nmaptập lệnh tốt hơn nhiều để kiểm tra xem dịch vụ có dễ bị tấn công tại http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , sao chép nó vào /usr/share/nmap/scriptsvà sau đó cập nhật nmapcơ sở dữ liệu hoặc chạy nó như sau:

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

Về các biện pháp dài hạn để bảo vệ dịch vụ SAMBA: Giao thức SMB không bao giờ nên được cung cấp trực tiếp trên Internet.

Cũng không cần phải nói rằng SMB luôn là một giao thức phức tạp và các loại dịch vụ này phải được tường lửa và giới hạn trong các mạng nội bộ [mà chúng đang được phục vụ].

Khi cần truy cập từ xa, đến nhà hoặc đặc biệt là các mạng công ty, những truy cập đó nên được thực hiện tốt hơn bằng cách sử dụng công nghệ VPN.

Như thường lệ, trong tình huống này, nguyên tắc Unix chỉ cài đặt và kích hoạt các dịch vụ tối thiểu cần thiết sẽ được đền đáp.

Lấy từ chính việc khai thác:

Khai thác Samba đỏ vĩnh cửu - CVE-2017-7494.
Làm cho máy chủ Samba dễ bị tổn thương tải thư viện dùng chung trong ngữ cảnh gốc.
Thông tin không bắt buộc nếu máy chủ có tài khoản khách.
Để khai thác từ xa, bạn phải có quyền ghi vào ít nhất một chia sẻ.
Eternal Red sẽ quét máy chủ Samba để chia sẻ. Nó cũng sẽ xác định fullpath của chia sẻ từ xa.

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

Nó cũng được biết là các hệ thống được kích hoạt SELinux không dễ bị khai thác.

Xem lỗ hổng Samba 7 tuổi cho phép tin tặc truy cập hàng ngàn máy tính Linux từ xa

Theo công cụ tìm kiếm máy tính Shodan, hơn 485.000 máy tính hỗ trợ Samba tiếp xúc với cổng 445 trên Internet và theo các nhà nghiên cứu tại Rapid7, hơn 104.000 điểm cuối tiếp xúc với internet dường như đang chạy các phiên bản dễ bị tấn công của Samba, trong đó có 92.000 chạy các phiên bản Samba không được hỗ trợ.

Do Samba là giao thức SMB được triển khai trên các hệ thống Linux và UNIX, nên một số chuyên gia cho rằng đây là "phiên bản Linux của EternalBlue", được sử dụng bởi ransomware WannaCry.

... hay tôi nên nói SambaCry?

Ghi nhớ số lượng hệ thống dễ bị tổn thương và dễ dàng khai thác lỗ hổng này, lỗ hổng Samba có thể được khai thác ở quy mô lớn với khả năng sâu.

Các mạng gia đình có thiết bị lưu trữ gắn mạng (NAS) [cũng chạy Linux] cũng có thể dễ bị lỗ hổng này.

Xem thêm Một lỗi thực thi mã có thể bị sâu đã tồn tại ở Samba trong 7 năm. Vá ngay bây giờ!

Lỗ hổng bảy tuổi, được lập chỉ mục là CVE-2017-7494, có thể được khai thác một cách đáng tin cậy chỉ với một dòng mã để thực thi mã độc, miễn là một vài điều kiện được đáp ứng. Những yêu cầu đó bao gồm các máy tính dễ bị tổn thương:

(a) làm cho cổng chia sẻ tệp và máy in có thể truy cập được trên Internet,
(b) định cấu hình các tệp được chia sẻ để có đặc quyền ghi và
(c) sử dụng đường dẫn máy chủ đã biết hoặc có thể đoán được cho các tệp đó.

Khi những điều kiện đó được thỏa mãn, những kẻ tấn công từ xa có thể tải lên bất kỳ mã nào do chúng chọn và khiến máy chủ thực thi nó, có thể với các đặc quyền gốc không bị thay đổi, tùy thuộc vào nền tảng dễ bị tấn công.

Với sự dễ dàng và độ tin cậy của khai thác, lỗ hổng này đáng để cắm càng sớm càng tốt. Đây chỉ là vấn đề thời gian cho đến khi những kẻ tấn công bắt đầu chủ động nhắm mục tiêu vào nó.

Cũng nhanh 7 - Vá CVE-2017-7494 ở Samba: Đó là Vòng tròn cuộc sống

Và nhiều hơn nữa SambaCry: Phần tiếp theo của Linux cho WannaCry .

Những điều cần biết

CVE-2017-7494 có Điểm CVSS là 7.5 (CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.

Phạm vi đe dọa

Một truy vấn shodan.io của "port: 445! Os: windows" cho thấy khoảng một triệu máy chủ không chạy Windows có tcp / 445 mở với Internet, hơn một nửa trong số đó tồn tại ở Các Tiểu vương quốc Ả Rập Thống nhất (36%) và Mỹ (16%). Mặc dù nhiều trong số này có thể đang chạy các phiên bản vá, có các biện pháp bảo vệ SELinux hoặc nếu không không phù hợp với các tiêu chí cần thiết để chạy khai thác, bề mặt tấn công có thể có của lỗ hổng này là lớn.

PS Sửa lỗi cam kết trong dự án github SAMBA dường như là cam kết 02a76d86db0cbe79fcaf1a500630e24d961fa149


2
Không có gì. Tôi sẽ nói thêm rằng trong múi giờ của mình, tôi đã thực hiện thông báo bảo mật Debian ngày hôm qua vào khoảng 9 giờ sáng
Rui F Ribeiro

6
Không giống như trong Windows, Samba không bật mặc định trong hầu hết các bản phân phối Linux phải không?
raphael

1
@raphael Thật vậy, nhưng nếu tôi nhận được một xu cho mọi máy chủ tôi đã tìm thấy với bộ DVD lõi đầy đủ được cài đặt ... Tôi đã chỉnh sửa một chút câu trả lời để giải quyết ý tưởng đó.
Rui F Ribeiro

9
Theo như tôi có thể nói rằng tập lệnh nmap chỉ kiểm tra phiên bản của samba chứ không phải nếu bạn dễ bị tấn công. AFAICT, để khai thác lỗ hổng, người ta cần có khả năng tải tệp lên máy chủ. Vì vậy, lỗ hổng này không nghiêm trọng bằng Windows Eternalblue. Nếu bạn cho phép tải lên các tệp qua internet mà không cần xác thực, bạn sẽ gặp vấn đề cho dù samba có dễ bị tấn công hay không.
Stéphane Chazelas

1
@ StéphaneChazelas cảm ơn, tôi vẫn chưa có thời gian để kiểm tra kịch bản
Rui F Ribeiro

21

Hầu hết chúng ta chạy các máy chủ Samba ngoài kia có thể đang chạy nó trong mạng LAN, đằng sau tường lửa và không để các cổng của nó trực tiếp ra thế giới bên ngoài.

Sẽ là một thực tế khủng khiếp nếu bạn làm như vậy và không thể thực hiện được khi có các giải pháp VPN đơn giản, hiệu quả và miễn phí (như trong bia và như trong lời nói) như OpenVPN. SMB không được thiết kế dành cho Internet mở (heck, TCP / IP thậm chí còn xuất hiện như một suy nghĩ sau trong giao thức đó) và nên được xử lý như vậy. Ý kiến khác đang chạy quy tắc tường lửa trên máy chủ chia sẻ tập tin thực tế mà danh sách trắng adresses mạng chỉ cục bộ (và cuối cùng VPN) trên tất cả các cổng SMB ( 139/TCP, 445/TCP, 137/UDP138/UDP).

Ngoài ra, nếu trường hợp sử dụng của bạn cho phép, bạn nên xem xét việc chạy Samba không có đặc quyền (như, sambangười dùng không phải là bí danh root). Tôi hiểu rằng không dễ để kết hôn với các giới hạn của NT ACL với POSIX ACL với thiết lập này nhưng nếu có thể làm như vậy trong thiết lập cụ thể của bạn thì đó là cách để đi.

Cuối cùng, ngay cả khi "khóa máy" như vậy, bạn vẫn nên áp dụng một bản vá nếu bạn có thể (vì có các hộp NAS ngoài đó không thể thực hiện được) và kiểm tra xem trường hợp sử dụng cụ thể của bạn có hoạt động với nt pipe supportcài đặt không no.


4
Phần mềm chỉ có thể truy cập trên mạng intranet có lẽ là điều mà một số quản trị viên trong các công ty nơi WannaCry lan truyền nghĩ.
Carsten S
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.