Bu Samba yeni güvenlik açığına zaten "Sambacry" deniyor, ancak istismarın kendisi Twitter'da (sansasyonel olarak) twitter'da duyurulan "Eternal Red Samba" diyor:
Samba hata, tetiklemek için metasploit tek astar sadece: simple.create_pipe ("/ path / to / target.so")
Potansiyel olarak etkilenen Samba versiyonları Samba 3.5.0 - 4.5.4 / 4.5.10 / 4.4.14 arasındadır.
Samba kurulum konfigürasyonları feryat tarif karşılıyorsa zaten olduğu gibi, düzeltme / yükseltme en kısa sürede yapılmalıdır patlatır diğeri piton istismar ve
Metasploit orada modüllerin.
Daha da ilginç olanı , honeynet projesinden bilinen bir bal küpüne, hem de WannaCry ve SambaCry eklentilerine dionaea ekleri zaten var .
Samba ağlaması zaten (ab) daha fazla kripto madencisi "EternalMiner" kurmak veya gelecekte bir kötü amaçlı yazılım damlalığı olarak ikiye katlamak için kullanılıyor gibi görünüyor .
Kaspersky Lab araştırma ekibi tarafından kurulan honeypots, SambaCry'nin güvenlik açığından yararlanan ve Linux bilgisayarlara kripto para birimi madenciliği yazılımı bulaştırmak için kullanılan kötü amaçlı bir kampanya yakaladı. Başka bir güvenlik araştırmacısı Omri Ben Bassat, aynı kampanyayı bağımsız olarak keşfetti ve "EternalMiner" olarak adlandırdı.
Güncellemeden önce Samba'nın yüklü olduğu sistemler için önerilen (geçici olarak CVE bildiriminde de mevcut) geçici çözüm aşağıdakileri ekliyor smb.conf
:
nt pipe support = no
(ve Samba servisini yeniden başlatmak)
Bunun, pipo IPC adlı borunun servisi ile anonim bağlantılar kurma özelliğini açıp kapatan bir ayarı devre dışı bırakması gerekiyordu. Kimden man samba
:
Bu genel seçenek, geliştiriciler tarafından Windows NT / 2000 / XP istemcilerine NT'ye özgü SMB IPC $ borularına bağlantı kurma kabiliyetine izin vermek veya vermemek için kullanılır. Bir kullanıcı olarak, varsayılanı geçersiz kılmanıza gerek kalmaz.
Ancak bizim iç tecrübemizden, düzeltmenin daha eskilerle uyumlu olmadığı görünüyor? Windows sürümleri (en azından bazı? Windows 7 istemcileri ile çalışmaz gibi görünüyor nt pipe support = no
) ve bu şekilde düzeltme yolu aşırı durumlarda Samba'yı kurmaya ve hatta derlemeye gidebilir.
Daha spesifik olarak, bu düzeltme, Windows istemcilerinden gelen paylaşım listelerini devre dışı bırakır ve uygulanırsa, kullanabilmeleri için paylaşımın tam yolunu elle belirtmeleri gerekir.
Bilinen diğer bir geçici çözüm, Samba paylaşımlarının noexec
seçeneğe bağlı olduğundan emin olmaktır . Bu, bağlı dosya sisteminde bulunan ikili dosyaların yürütülmesini önleyecektir.
Resmi güvenlik yama kodudur buradan itibaren samba.org güvenlik sayfasında .
Debian zaten dün (24/5) kapıdan bir güncelleme başlattı ve ilgili güvenlik uyarısı DSA-3860-1 samba
Güvenlik açığının Centos / RHEL / Fedora'de düzeltilip türevlenmediğini doğrulamak için şunları yapın:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Şimdi bir nmap
algılama komut dosyası var: samba-vuln-cve-2017-7494.nse
Samba sürümlerini tespit etmek için veya nmap
hizmetin savunmasız olup olmadığını kontrol eden http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , veritabanına kopyalayın /usr/share/nmap/scripts
ve daha sonra nmap
veritabanını güncelleyin ya da aşağıdaki gibi çalıştırın:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
SAMBA hizmetini korumak için uzun vadeli önlemler hakkında: SMB protokolü hiçbir zaman doğrudan İnternet'e doğrudan sunulmamalıdır.
Ayrıca, KOBİ’nin her zaman iç içe geçmiş bir protokol olduğunu ve bu tür hizmetlerin güvenlik duvarlarına [hizmet ettikleri] iç ağlarla sınırlandırılması gerektiğini belirtmeden de devam ediyor.
Evde veya özel olarak şirket ağlarına uzaktan erişim gerektiğinde, bu erişimlerin VPN teknolojisi kullanılarak daha iyi yapılması gerekir.
Her zamanki gibi, bu durumlarda Unix sadece gerekli asgari hizmetleri kurmak ve etkinleştirmek ilkesini yerine getirir.
Sömürünün kendisinden alınmış:
Ebedi Kırmızı Samba Exploit - CVE-2017-7494.
Güvenlik açığı bulunan Samba sunucusunun kök bağlamda paylaşılan bir kitaplık yüklemesine neden olur.
Sunucunun bir misafir hesabı varsa, kimlik bilgileri gerekli değildir.
Uzaktan yararlanma için en az bir paylaşıma yazma izniniz olmalıdır.
Ebedi Kırmızı, Samba sunucusunu yazabileceği paylaşımlara karşı tarar. Ayrıca uzak paylaşımın tam yolunu da belirler.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
Ayrıca, SELinux'un etkin olduğu sistemlerin istismara açık olmadığı da bilinmektedir.
7 Yaşındaki Samba Kusurunu Görmek Hackerların Uzaktan Binlerce Linux PC'ye Erişmesine İzin Verdi
Shodan bilgisayar arama motoruna göre, İnternet üzerinden 445 numaralı bağlantı noktasını 485.000'den fazla Samba etkinliğine sahip bilgisayar ve Rapid7'deki araştırmacılara göre, bunlardan 92.000'inin açık olduğu 104.000'den fazla internete maruz kalan uç nokta çalışıyor. Samba'nın desteklenmeyen sürümlerini çalıştırıyor.
Samba, Linux ve UNIX sistemlerinde uygulanan SMB protokolü olduğundan, bazı uzmanlar WannaCry Ransomware tarafından kullanılan "EternalBlue Linux sürümü" olduğunu söylüyor.
... ya da SambaCry mi demeliyim?
Güvenlik açığı bulunan sistemlerin sayısını ve bu güvenlik açığından yararlanmanın kolaylığını göz önünde bulundurarak, Samba'nın kusuru, büyük ölçüde kötü niyetli yeteneklerle sömürülebilir.
Ağa bağlı depolama (NAS) cihazlarıyla [aynı zamanda Linux çalıştıran] ev ağları da bu hataya açık olabilir.
Ayrıca bakınız Samba'da 7 yıl boyunca kötü bir kod yürütme hatası yaşandı. Şimdi yama!
CVE-2017-7494 olarak endekslenen yedi yaşındaki kusur, birkaç koşul yerine getirildiği sürece kötü niyetli kod çalıştırmak için yalnızca bir kod satırı ile güvenilir bir şekilde kullanılabilir. Bu gereksinimler aşağıdakileri savunmasız bilgisayarları içerir:
(a) 445 dosya ve yazıcı paylaşımı bağlantı noktasını Internet'te erişilebilir duruma getirmek,
(b) paylaşılan dosyaları yazma ayrıcalıklarına sahip olacak şekilde yapılandırmak ve
(c) bu dosyalar için bilinen veya tahmin edilebilir sunucu yollarını kullanmak.
Bu koşullar yerine getirildiğinde, uzak saldırganlar seçtikleri herhangi bir kodu yükleyebilir ve savunmasız platforma bağlı olarak sunucunun muhtemelen açıklanmamış kök ayrıcalıklarıyla yürütmesine neden olabilir.
Açıkların kolaylığı ve güvenilirliği göz önüne alındığında, bu delik en kısa sürede takılmaya değer. Saldırganların aktif olarak hedef almaya başlaması sadece zaman meselesi olabilir.
Ayrıca Hızlı 7 - Samba'da CVE-2017-7494'ü Yama: Bu Yaşam Çemberi
Ve daha fazlası SambaCry: WannaCry'ye Linux Sequel .
Bilmeniz Gereken Gerçekler
CVE-2017-7494'ün CVSS Puanı 7.5 (CVSS: 3.0 / AV: N / AC: H / İP: L / UI: N / S: U / C: H / I: H / A: H) 3'tür.
Tehdit Kapsamı
"Port: 445! Os: windows" adlı bir shodan.io sorgusu, yarısından fazlasının Birleşik Arap Emirlikleri'nde (% 36) ve% 36'sının İnternette açık olduğu yaklaşık bir milyon Windows olmayan ana bilgisayarı gösteriyor ABD (% 16). Bunların çoğu yamalı sürümleri çalıştırıyor olabilir, SELinux korumalarına sahip olabilir veya istismarın çalıştırılması için gerekli kriterleri karşılamıyor olsa da, bu güvenlik açığı için olası saldırı yüzeyi büyüktür.
PS SAMBA github projesindeki taahhütnamenin 02a76d86db0cbe79fcaf1a500630e24d961fa149