Linux sistemlerinde “WannaCry”: Kendinizi nasıl koruyorsunuz?


73

Hızlı7 bir makaleye göre , Linux sistemlerinde uzaktan kod yürütülmesine izin veren bazı hassas Samba sürümleri var:

İken WannaCry ransomworm Windows sistemleri etkiledi ve net düzeltme adımlarını ile kolayca tanımlanabilir oldu, Samba açığı Linux ve Unix sistemleri etkileyecek ve elde veya uygun İyileştirilmesi dağıtma önemli teknik engellerin sunabilir.

CVE-2017-7494

Samba'nın 3.5.0'dan sonraki tüm sürümleri, kötü amaçlı bir istemcinin paylaşılan bir kitaplığı yazılabilir bir paylaşıma yüklemesine olanak sağlayan ve ardından sunucunun onu yüklemesine ve yürütmesine neden olan bir uzaktan kod yürütme güvenlik açığına karşı savunmasızdır.

Muhtemel saldırı senaryosu:

İki faktörden başlayarak:

  • Samba güvenlik açığı henüz bazı Linux dağıtımlarında düzeltilmemiştir .
  • Bazı Linux çekirdek sürümlerinde yamalı olmayan bir yerel ayrıcalık yükseltme güvenlik açığı bulunmaktadır (örneğin, 4.8.0-41-jeneric Ubuntu çekirdeğinde CVE-2017-7308).

Saldırgan bir Linux makinesine erişebilir ve kök erişimini elde etmek için yerel bir açık güvenlik açığı kullanarak ayrıcalıkları yükseltebilir ve Linux için bu sahte WannaCry ransomware'ine benzer bir gelecekteki ramsomware kurabilir .

Güncelleme

En yeni "Uyarı! Hacker'lar Linux Sistemlerini Hacklemek için" SambaCry Kusurunu Kullanmaya Başladı "makalesi , bir linux makinesine bulaşmak için Sambacry kusurunun nasıl kullanılacağını göstermektedir.

Kaspersky Lab'dan araştırmacılar tarafından oluşturulan honeypots'lar, Linux bilgisayarlara kripto-para birimi madenciliği yazılımını bulaştırmak için SambaCry güvenlik açığından yararlanan bir kötü amaçlı yazılım kampanyası yakaladığından , bu tahmin oldukça doğru çıktı .

Başka bir güvenlik araştırmacısı Omri Ben Bassat, aynı kampanyayı bağımsız olarak keşfetti ve "EternalMiner" olarak adlandırdı .

Araştırmacılara göre, bilinmeyen bir bilgisayar korsanı grubu, Linux bilgisayarlarını Samba'nın açıklanmasının kamuya açıklanmasından ve "Monero" dijital para birimini kullanan bir şifreleme madenciliği yazılımı olan "CPUminer" 'in yükseltilmiş bir versiyonunu kurmasından bir hafta sonra kaçırılmaya başladı.

Saldırgan makinelerin SambaCry güvenlik açığını kullanarak tehlikeye attıktan sonra, saldırganlar hedeflenen sistemlerde iki yük taşıyor:

INAebsGB.so - Saldırganlara uzaktan erişim sağlayan bir ters kabuk.

cblRWuoCc.so - Kripto para birimi madenciliği hizmetlerini içeren bir arka kapı - CPUminer.

18 Temmuz 2017'de TrendLab'da yayınlanan rapor: Yeni Bir Tehdit Olarak Güncelleme Çağrısında Bulunan Linux Kullanıcıları SambaCry'i Keşfediyor

Saldırıyı önlemek için bir Linux sistemini nasıl koruyabilirim?


22
WannaCry, Windows kötü amaçlı yazılımdır. Bir unix virüsü, bu ilişkisiz problemi kullanarak, aynı protokolün bu ilgisiz uygulamasını kullanarak yazılabilir, ancak bunun windows malware ile ilgisi yoktur. Linux için WannaCry'e verdiğiniz bu bağlantı bir aldatmacadır, kaynağını gözden geçirmekten, grafiksel olarak "kendi gui'nizi kendin yap" dır - yazılımdan, gerçek bir program olmadan ama hiçbir şey yapmayan bir GUI'den çıktığı gibi görünür.
Hiç kimse

2
@ GAD3R iPhone'umu Google Çeviri / kamera kipiyle kullanıyorsa, yorumları Çince kaynakların tamamlanmadığını söylüyor. Soruyu CVE'de yeniden çalışmayı, github bağlantısını silmeyi ve hala mevcut olmayan fidye yazılımı ile ilgili tavsiyede bulunmamayı öneririm; ya da hala bu fikir üzerinde çalışmak istiyorsanız, onu github bağlantısını açıkça ortaya koymak, bu fikrin sadece bir kısmıdır
Rui F Ribeiro

8
@ GAD3R Evet, birisi sistemime uzaktan yüksek ayrıcalıklarla uzaktan erişebiliyorsa, sabit diskimi şifrelemek için yalnızca yerel Linux araçlarını kullanmak ve bunun gibi bir QT GUI yazmak zor olabilir. WannaCry'nin tüm gerçek özellikleri (yayılma) Windows istismarlarına bağlıdır. "WannaCry" den bahsetmek, tıkanma, saf ve basittir.
Hiç kimse

6
Hiç kimse Yeterince adil olamayacağına, OP'nin iyi niyetli olduğuna ve bunun sadece bir GUI olduğunu bilmediğine inanıyorum; Biz yorumları okuyan Çinli yerliler değiliz ve kendisinin dediği gibi, kaynak kodu okuma konusunda çok usta değil; IMO, iki güvenlik açığı arasındaki paralellikler arasında zamanlamaları vererek de uygundur. Biraz gevşetin. Bununla birlikte, CVE'nin kendisinin etkileri endişe vericidir.
Rui F Ribeiro

3
IMO Soruyu kapatmayı tavsiye etmem, eğer birinin farklı bir fikri varsa, devam et. Henüz yapılmayan bir fidye yazılımı kullanmamak için soru metnini elden geçirdim. Bahsettiğim geçici çözüm, en azından hala sahip olduğumuz eski bir sistemde faydalıydı.
Rui F Ribeiro

Yanıtlar:


102

Bu Samba yeni güvenlik açığına zaten "Sambacry" deniyor, ancak istismarın kendisi Twitter'da (sansasyonel olarak) twitter'da duyurulan "Eternal Red Samba" diyor:

Samba hata, tetiklemek için metasploit tek astar sadece: simple.create_pipe ("/ path / to / target.so")

Potansiyel olarak etkilenen Samba versiyonları Samba 3.5.0 - 4.5.4 / 4.5.10 / 4.4.14 arasındadır.

Samba kurulum konfigürasyonları feryat tarif karşılıyorsa zaten olduğu gibi, düzeltme / yükseltme en kısa sürede yapılmalıdır patlatır diğeri piton istismar ve Metasploit orada modüllerin.

Daha da ilginç olanı , honeynet projesinden bilinen bir bal küpüne, hem de WannaCry ve SambaCry eklentilerine dionaea ekleri zaten var .

Samba ağlaması zaten (ab) daha fazla kripto madencisi "EternalMiner" kurmak veya gelecekte bir kötü amaçlı yazılım damlalığı olarak ikiye katlamak için kullanılıyor gibi görünüyor .

Kaspersky Lab araştırma ekibi tarafından kurulan honeypots, SambaCry'nin güvenlik açığından yararlanan ve Linux bilgisayarlara kripto para birimi madenciliği yazılımı bulaştırmak için kullanılan kötü amaçlı bir kampanya yakaladı. Başka bir güvenlik araştırmacısı Omri Ben Bassat, aynı kampanyayı bağımsız olarak keşfetti ve "EternalMiner" olarak adlandırdı.

Güncellemeden önce Samba'nın yüklü olduğu sistemler için önerilen (geçici olarak CVE bildiriminde de mevcut) geçici çözüm aşağıdakileri ekliyor smb.conf:

nt pipe support = no

(ve Samba servisini yeniden başlatmak)

Bunun, pipo IPC adlı borunun servisi ile anonim bağlantılar kurma özelliğini açıp kapatan bir ayarı devre dışı bırakması gerekiyordu. Kimden man samba:

Bu genel seçenek, geliştiriciler tarafından Windows NT / 2000 / XP istemcilerine NT'ye özgü SMB IPC $ borularına bağlantı kurma kabiliyetine izin vermek veya vermemek için kullanılır. Bir kullanıcı olarak, varsayılanı geçersiz kılmanıza gerek kalmaz.

Ancak bizim iç tecrübemizden, düzeltmenin daha eskilerle uyumlu olmadığı görünüyor? Windows sürümleri (en azından bazı? Windows 7 istemcileri ile çalışmaz gibi görünüyor nt pipe support = no) ve bu şekilde düzeltme yolu aşırı durumlarda Samba'yı kurmaya ve hatta derlemeye gidebilir.

Daha spesifik olarak, bu düzeltme, Windows istemcilerinden gelen paylaşım listelerini devre dışı bırakır ve uygulanırsa, kullanabilmeleri için paylaşımın tam yolunu elle belirtmeleri gerekir.

Bilinen diğer bir geçici çözüm, Samba paylaşımlarının noexecseçeneğe bağlı olduğundan emin olmaktır . Bu, bağlı dosya sisteminde bulunan ikili dosyaların yürütülmesini önleyecektir.

Resmi güvenlik yama kodudur buradan itibaren samba.org güvenlik sayfasında .

Debian zaten dün (24/5) kapıdan bir güncelleme başlattı ve ilgili güvenlik uyarısı DSA-3860-1 samba

Güvenlik açığının Centos / RHEL / Fedora'de düzeltilip türevlenmediğini doğrulamak için şunları yapın:

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

Şimdi bir nmapalgılama komut dosyası var: samba-vuln-cve-2017-7494.nse Samba sürümlerini tespit etmek için veya nmaphizmetin savunmasız olup olmadığını kontrol eden http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , veritabanına kopyalayın /usr/share/nmap/scriptsve daha sonra nmapveritabanını güncelleyin ya da aşağıdaki gibi çalıştırın:

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

SAMBA hizmetini korumak için uzun vadeli önlemler hakkında: SMB protokolü hiçbir zaman doğrudan İnternet'e doğrudan sunulmamalıdır.

Ayrıca, KOBİ’nin her zaman iç içe geçmiş bir protokol olduğunu ve bu tür hizmetlerin güvenlik duvarlarına [hizmet ettikleri] iç ağlarla sınırlandırılması gerektiğini belirtmeden de devam ediyor.

Evde veya özel olarak şirket ağlarına uzaktan erişim gerektiğinde, bu erişimlerin VPN teknolojisi kullanılarak daha iyi yapılması gerekir.

Her zamanki gibi, bu durumlarda Unix sadece gerekli asgari hizmetleri kurmak ve etkinleştirmek ilkesini yerine getirir.

Sömürünün kendisinden alınmış:

Ebedi Kırmızı Samba Exploit - CVE-2017-7494.
Güvenlik açığı bulunan Samba sunucusunun kök bağlamda paylaşılan bir kitaplık yüklemesine neden olur.
Sunucunun bir misafir hesabı varsa, kimlik bilgileri gerekli değildir.
Uzaktan yararlanma için en az bir paylaşıma yazma izniniz olmalıdır.
Ebedi Kırmızı, Samba sunucusunu yazabileceği paylaşımlara karşı tarar. Ayrıca uzak paylaşımın tam yolunu da belirler.

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

Ayrıca, SELinux'un etkin olduğu sistemlerin istismara açık olmadığı da bilinmektedir.

7 Yaşındaki Samba Kusurunu Görmek Hackerların Uzaktan Binlerce Linux PC'ye Erişmesine İzin Verdi

Shodan bilgisayar arama motoruna göre, İnternet üzerinden 445 numaralı bağlantı noktasını 485.000'den fazla Samba etkinliğine sahip bilgisayar ve Rapid7'deki araştırmacılara göre, bunlardan 92.000'inin açık olduğu 104.000'den fazla internete maruz kalan uç nokta çalışıyor. Samba'nın desteklenmeyen sürümlerini çalıştırıyor.

Samba, Linux ve UNIX sistemlerinde uygulanan SMB protokolü olduğundan, bazı uzmanlar WannaCry Ransomware tarafından kullanılan "EternalBlue Linux sürümü" olduğunu söylüyor.

... ya da SambaCry mi demeliyim?

Güvenlik açığı bulunan sistemlerin sayısını ve bu güvenlik açığından yararlanmanın kolaylığını göz önünde bulundurarak, Samba'nın kusuru, büyük ölçüde kötü niyetli yeteneklerle sömürülebilir.

Ağa bağlı depolama (NAS) cihazlarıyla [aynı zamanda Linux çalıştıran] ev ağları da bu hataya açık olabilir.

Ayrıca bakınız Samba'da 7 yıl boyunca kötü bir kod yürütme hatası yaşandı. Şimdi yama!

CVE-2017-7494 olarak endekslenen yedi yaşındaki kusur, birkaç koşul yerine getirildiği sürece kötü niyetli kod çalıştırmak için yalnızca bir kod satırı ile güvenilir bir şekilde kullanılabilir. Bu gereksinimler aşağıdakileri savunmasız bilgisayarları içerir:

(a) 445 dosya ve yazıcı paylaşımı bağlantı noktasını Internet'te erişilebilir duruma getirmek,
(b) paylaşılan dosyaları yazma ayrıcalıklarına sahip olacak şekilde yapılandırmak ve
(c) bu dosyalar için bilinen veya tahmin edilebilir sunucu yollarını kullanmak.

Bu koşullar yerine getirildiğinde, uzak saldırganlar seçtikleri herhangi bir kodu yükleyebilir ve savunmasız platforma bağlı olarak sunucunun muhtemelen açıklanmamış kök ayrıcalıklarıyla yürütmesine neden olabilir.

Açıkların kolaylığı ve güvenilirliği göz önüne alındığında, bu delik en kısa sürede takılmaya değer. Saldırganların aktif olarak hedef almaya başlaması sadece zaman meselesi olabilir.

Ayrıca Hızlı 7 - Samba'da CVE-2017-7494'ü Yama: Bu Yaşam Çemberi

Ve daha fazlası SambaCry: WannaCry'ye Linux Sequel .

Bilmeniz Gereken Gerçekler

CVE-2017-7494'ün CVSS Puanı 7.5 (CVSS: 3.0 / AV: N / AC: H / İP: L / UI: N / S: U / C: H / I: H / A: H) 3'tür.

Tehdit Kapsamı

"Port: 445! Os: windows" adlı bir shodan.io sorgusu, yarısından fazlasının Birleşik Arap Emirlikleri'nde (% 36) ve% 36'sının İnternette açık olduğu yaklaşık bir milyon Windows olmayan ana bilgisayarı gösteriyor ABD (% 16). Bunların çoğu yamalı sürümleri çalıştırıyor olabilir, SELinux korumalarına sahip olabilir veya istismarın çalıştırılması için gerekli kriterleri karşılamıyor olsa da, bu güvenlik açığı için olası saldırı yüzeyi büyüktür.

PS SAMBA github projesindeki taahhütnamenin 02a76d86db0cbe79fcaf1a500630e24d961fa149


2
Rica ederim. Saat dilimimde dün
Rui F Ribeiro

6
Windows'taki aksine, Samba çoğu Linux dağıtımında varsayılan olarak açık değildir.
raphael

1
@raphael Gerçekten, ama yüklü tam bir set DVD setiyle bulduğum her sunucu için bir kuruş aldıysam ... Bu fikri ele almak için cevabını biraz düzenlemiştim.
Rui F Ribeiro

9
Anlayabildiğim kadarıyla, nmap betiği savunmasız değilseniz, yalnızca samba sürümünü kontrol ediyor. AFAICT, bu güvenlik açığından yararlanabilmek için, sunucuya dosya yükleyebilmeli. Bu güvenlik açığı, Eternalblue Windows'daki kadar ciddi değildir. Kimlik doğrulaması olmadan internet üzerinden dosya yüklemeye izin verirseniz, samba'nın savunmasız olup olmadığına dair bir sorununuz olur.
Stéphane Chazelas

1
@ StéphaneChazelas teşekkürler, senaryoyu kontrol etmek için zamanım olmadı
Rui F Ribeiro

21

Çoğumuz Samba sunucularını kullanıyoruz, muhtemelen LAN'ların içinde, güvenlik duvarlarının arkasında çalışıyoruz ve portlarını doğrudan dış dünyaya maruz bırakmıyoruz.

Bunu yapsaydınız çok basit bir uygulama olurdu ve basit, etkili ve ücretsiz (biradaki ve konuşmadaki gibi) OpenVPN gibi VPN çözümleri varken affedilmez bir uygulama olurdu. SMB, açık İnternet düşünülerek tasarlanmamıştır (heck, TCP / IP bile bu protokolde bir düşünce olarak ortaya çıkmıştır) ve bu şekilde ele alınmalıdır. Ek öneri tüm SMB bağlantı noktalarında sadece yerel (ve sonunda VPN) ağ adresleri beyaz listeye gerçek dosya paylaşımı ana bilgisayarda güvenlik duvarı kuralları çalıştıran ( 139/TCP, 445/TCP, 137/UDPve 138/UDP).

Ayrıca, kullanım durumunuz izin veriyorsa, Samba'yı imtiyazsız olarak çalıştırmayı düşünmelisiniz (örneğin, sambatakma olmayan bir kullanıcı olarak root). Bu kurulumda POSIX ACL'lerle NT ACL'lerin sınırlamaları ile evlenmenin o kadar kolay olmadığını, ancak kendi kurulumunuzda yapmanın mümkün olduğunu anlıyorum.

Son olarak, hatta böyle bir "tecrit" ile size (orada NAS kutuları vardır çünkü nerede yapılabilir olmayabilir) eğer bir yama uygulamak ve belirli bir kullanım durumu ile çalışıp çalışmadığını test etmek için hala tavsiye edilir nt pipe supportiçin sette no.


4
“Sadece intranette erişilebilir” muhtemelen WannaCry'nin yayıldığı şirketlerdeki yöneticilerin bazılarının düşündüğü şeydir.
Carsten S
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.