Lỗ hổng mới Samba này đã được gọi là "Sambacry", trong khi bản khai thác đề cập đến "Eternal Red Samba", được công bố trên twitter (theo cảm tính) là:
Lỗi Samba, metasploit one-liner để kích hoạt chỉ là: simple.create_pipe ("/ path / to / target.so")
Các phiên bản Samba có khả năng bị ảnh hưởng là từ Samba 3.5.0 đến 4.5.4 / 4.5.10 / 4.4.14.
Nếu cài đặt Samba của bạn đáp ứng các cấu hình được mô tả dưới đây, việc sửa chữa / nâng cấp nên được thực hiện càng sớm càng tốt vì đã có khai thác , khai thác khác trong các mô-đun python và
metasploit ngoài kia.
Nhiều thú vị đủ, đã có add-ons để một honeypot bí quyết từ Honeynet dự án, dionaea cả WannaCry và SambaCry plug-ins .
Samba khóc dường như đã được (ab) sử dụng để cài đặt thêm các công cụ khai thác tiền điện tử "EternalMiner" hoặc nhân đôi thành một phần mềm độc hại trong tương lai .
honeypots được thiết lập bởi nhóm các nhà nghiên cứu từ Kaspersky Lab đã nắm bắt được một chiến dịch phần mềm độc hại đang khai thác lỗ hổng SambaCry để lây nhiễm các máy tính Linux bằng phần mềm khai thác tiền điện tử. Một nhà nghiên cứu bảo mật khác, Omri Ben Bassat, đã độc lập phát hiện ra cùng một chiến dịch và đặt tên cho nó là "EternalMiner".
Giải pháp được tư vấn cho các hệ thống đã cài đặt Samba (cũng có trong thông báo CVE) trước khi cập nhật, đang thêm vào smb.conf
:
nt pipe support = no
(và khởi động lại dịch vụ Samba)
Điều này được cho là vô hiệu hóa một cài đặt bật / tắt khả năng thực hiện các kết nối ẩn danh với dịch vụ đường ống có tên IPC. Từ man samba
:
Tùy chọn toàn cầu này được các nhà phát triển sử dụng để cho phép hoặc không cho phép các máy khách Windows NT / 2000 / XP có khả năng tạo kết nối với các ống SMB IPC $ dành riêng cho NT. Là người dùng, bạn không bao giờ cần ghi đè mặc định.
Tuy nhiên từ kinh nghiệm nội bộ của chúng tôi, có vẻ như bản sửa lỗi không tương thích với bản cũ? Các phiên bản Windows (ít nhất là một số máy khách Windows 7 dường như không hoạt động với nt pipe support = no
) và do đó, lộ trình khắc phục có thể trong các trường hợp cực đoan trong việc cài đặt hoặc thậm chí biên dịch Samba.
Cụ thể hơn, sửa lỗi này vô hiệu hóa danh sách chia sẻ từ các máy khách Windows và nếu được áp dụng, họ phải chỉ định thủ công đường dẫn chia sẻ đầy đủ để có thể sử dụng nó.
Cách giải quyết khác được biết là đảm bảo cổ phiếu Samba được gắn với noexec
tùy chọn. Điều này sẽ ngăn việc thực thi các nhị phân nằm trong hệ thống tệp được gắn.
Bản vá mã nguồn bảo mật chính thức có ở đây từ trang bảo mật samba.org .
Debian đã đẩy ngày hôm qua (24/5) ra một bản cập nhật và thông báo bảo mật tương ứng DSA-3860-1 samba
Để xác minh xem lỗ hổng có được sửa trong Centos / RHEL / Fedora và các dẫn xuất hay không, hãy làm:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Hiện tại đã có nmap
tập lệnh phát hiện: samba-vuln-cve-2017-7494.nse
để phát hiện các phiên bản Samba hoặc nmap
tập lệnh tốt hơn nhiều để kiểm tra xem dịch vụ có dễ bị tấn công tại http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , sao chép nó vào /usr/share/nmap/scripts
và sau đó cập nhật nmap
cơ sở dữ liệu hoặc chạy nó như sau:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Về các biện pháp dài hạn để bảo vệ dịch vụ SAMBA: Giao thức SMB không bao giờ nên được cung cấp trực tiếp trên Internet.
Cũng không cần phải nói rằng SMB luôn là một giao thức phức tạp và các loại dịch vụ này phải được tường lửa và giới hạn trong các mạng nội bộ [mà chúng đang được phục vụ].
Khi cần truy cập từ xa, đến nhà hoặc đặc biệt là các mạng công ty, những truy cập đó nên được thực hiện tốt hơn bằng cách sử dụng công nghệ VPN.
Như thường lệ, trong tình huống này, nguyên tắc Unix chỉ cài đặt và kích hoạt các dịch vụ tối thiểu cần thiết sẽ được đền đáp.
Lấy từ chính việc khai thác:
Khai thác Samba đỏ vĩnh cửu - CVE-2017-7494.
Làm cho máy chủ Samba dễ bị tổn thương tải thư viện dùng chung trong ngữ cảnh gốc.
Thông tin không bắt buộc nếu máy chủ có tài khoản khách.
Để khai thác từ xa, bạn phải có quyền ghi vào ít nhất một chia sẻ.
Eternal Red sẽ quét máy chủ Samba để chia sẻ. Nó cũng sẽ xác định fullpath của chia sẻ từ xa.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
Nó cũng được biết là các hệ thống được kích hoạt SELinux không dễ bị khai thác.
Xem lỗ hổng Samba 7 tuổi cho phép tin tặc truy cập hàng ngàn máy tính Linux từ xa
Theo công cụ tìm kiếm máy tính Shodan, hơn 485.000 máy tính hỗ trợ Samba tiếp xúc với cổng 445 trên Internet và theo các nhà nghiên cứu tại Rapid7, hơn 104.000 điểm cuối tiếp xúc với internet dường như đang chạy các phiên bản dễ bị tấn công của Samba, trong đó có 92.000 chạy các phiên bản Samba không được hỗ trợ.
Do Samba là giao thức SMB được triển khai trên các hệ thống Linux và UNIX, nên một số chuyên gia cho rằng đây là "phiên bản Linux của EternalBlue", được sử dụng bởi ransomware WannaCry.
... hay tôi nên nói SambaCry?
Ghi nhớ số lượng hệ thống dễ bị tổn thương và dễ dàng khai thác lỗ hổng này, lỗ hổng Samba có thể được khai thác ở quy mô lớn với khả năng sâu.
Các mạng gia đình có thiết bị lưu trữ gắn mạng (NAS) [cũng chạy Linux] cũng có thể dễ bị lỗ hổng này.
Xem thêm Một lỗi thực thi mã có thể bị sâu đã tồn tại ở Samba trong 7 năm. Vá ngay bây giờ!
Lỗ hổng bảy tuổi, được lập chỉ mục là CVE-2017-7494, có thể được khai thác một cách đáng tin cậy chỉ với một dòng mã để thực thi mã độc, miễn là một vài điều kiện được đáp ứng. Những yêu cầu đó bao gồm các máy tính dễ bị tổn thương:
(a) làm cho cổng chia sẻ tệp và máy in có thể truy cập được trên Internet,
(b) định cấu hình các tệp được chia sẻ để có đặc quyền ghi và
(c) sử dụng đường dẫn máy chủ đã biết hoặc có thể đoán được cho các tệp đó.
Khi những điều kiện đó được thỏa mãn, những kẻ tấn công từ xa có thể tải lên bất kỳ mã nào do chúng chọn và khiến máy chủ thực thi nó, có thể với các đặc quyền gốc không bị thay đổi, tùy thuộc vào nền tảng dễ bị tấn công.
Với sự dễ dàng và độ tin cậy của khai thác, lỗ hổng này đáng để cắm càng sớm càng tốt. Đây chỉ là vấn đề thời gian cho đến khi những kẻ tấn công bắt đầu chủ động nhắm mục tiêu vào nó.
Cũng nhanh 7 - Vá CVE-2017-7494 ở Samba: Đó là Vòng tròn cuộc sống
Và nhiều hơn nữa SambaCry: Phần tiếp theo của Linux cho WannaCry .
Những điều cần biết
CVE-2017-7494 có Điểm CVSS là 7.5 (CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.
Phạm vi đe dọa
Một truy vấn shodan.io của "port: 445! Os: windows" cho thấy khoảng một triệu máy chủ không chạy Windows có tcp / 445 mở với Internet, hơn một nửa trong số đó tồn tại ở Các Tiểu vương quốc Ả Rập Thống nhất (36%) và Mỹ (16%). Mặc dù nhiều trong số này có thể đang chạy các phiên bản vá, có các biện pháp bảo vệ SELinux hoặc nếu không không phù hợp với các tiêu chí cần thiết để chạy khai thác, bề mặt tấn công có thể có của lỗ hổng này là lớn.
PS Sửa lỗi cam kết trong dự án github SAMBA dường như là cam kết 02a76d86db0cbe79fcaf1a500630e24d961fa149