Questa nuova vulnerabilità di Samba è già stata chiamata "Sambacry", mentre l'exploit stesso menziona "Eternal Red Samba", annunciato su Twitter (sensazionalmente) come:
Samba bug, il metasploit one-liner da attivare è solo: simple.create_pipe ("/ path / to / target.so")
Le versioni Samba potenzialmente interessate vanno da Samba 3.5.0 a 4.5.4 / 4.5.10 / 4.4.14.
Se l'installazione di Samba soddisfa le configurazioni descritte di seguito, la correzione / aggiornamento dovrebbe essere eseguita APPENA POSSIBILE in quanto vi sono già exploit , altri exploit nei moduli python e
metasploit .
Cosa ancora più interessante, ci sono già componenti aggiuntivi per un honeypot noto del progetto honeynet , dionaea sia per i plug-in WannaCry che SambaCry .
Il pianto di Samba sembra già essere (ab) utilizzato per installare più cripto-minatori "EternalMiner" o raddoppiare in futuro come dropper di malware .
i honeypot creati dal team di ricercatori di Kaspersky Lab hanno catturato una campagna malware che sfrutta la vulnerabilità di SambaCry per infettare i computer Linux con software di mining di criptovaluta. Un altro ricercatore di sicurezza, Omri Ben Bassat, ha scoperto indipendentemente la stessa campagna e l'ha chiamata "EternalMiner".
La soluzione alternativa consigliata per i sistemi con Samba installato (che è presente anche nell'avviso CVE) prima di aggiornarlo, si aggiunge a smb.conf:
nt pipe support = no
(e riavvio del servizio Samba)
Ciò dovrebbe disabilitare un'impostazione che attiva / disattiva la possibilità di effettuare connessioni anonime al servizio di pipe denominato IPC di Windows. Da man samba:
Questa opzione globale viene utilizzata dagli sviluppatori per consentire o impedire ai client Windows NT / 2000 / XP la possibilità di effettuare connessioni a pipe IPC $ SMB specifiche di NT. Come utente, non dovresti mai avere bisogno di ignorare l'impostazione predefinita.
Tuttavia, dalla nostra esperienza interna, sembra che la correzione non sia compatibile con le versioni precedenti? Versioni di Windows (almeno alcuni? I client Windows 7 sembrano non funzionare con nt pipe support = no), e come tale il percorso di riparazione può andare in casi estremi nell'installazione o persino nella compilazione di Samba.
Più in particolare, questa correzione disabilita l'elenco delle condivisioni dai client Windows e, se applicato, deve specificare manualmente il percorso completo della condivisione per poterlo utilizzare.
Un'altra soluzione nota è assicurarsi che le condivisioni Samba siano montate con l' noexecopzione. Ciò impedirà l'esecuzione di file binari residenti nel filesystem montato.
La patch ufficiale del codice sorgente di sicurezza è qui dalla pagina di sicurezza di samba.org .
Debian ha già inviato ieri (24/5) un aggiornamento fuori dalla porta e il corrispondente avviso di sicurezza DSA-3860-1 samba
Per verificare se la vulnerabilità è stata corretta in Centos / RHEL / Fedora e derivati, procedere come segue:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Esiste ora uno nmapscript di rilevamento: samba-vuln-cve-2017-7494.nse per rilevare le versioni di Samba o uno nmapscript molto migliore che controlla se il servizio è vulnerabile su http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , copiarlo /usr/share/nmap/scriptse quindi aggiornare il nmapdatabase o eseguirlo come segue:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Informazioni sulle misure a lungo termine per proteggere il servizio SAMBA: il protocollo SMB non dovrebbe mai essere offerto direttamente a Internet in generale.
Va da sé che la SMB è sempre stata un protocollo contorto e che questo tipo di servizi dovrebbe essere protetto da firewall e limitato alle reti interne [a cui vengono servite].
Quando è necessario l'accesso remoto, a casa o in particolare alle reti aziendali, tali accessi dovrebbero essere eseguiti meglio utilizzando la tecnologia VPN.
Come al solito, in queste situazioni il principio Unix di installare e attivare solo i servizi minimi richiesti paga.
Tratto dall'exploit stesso:
Eternal Red Samba Exploit - CVE-2017-7494.
Fa sì che il server Samba vulnerabile carichi una libreria condivisa nel contesto principale.
Le credenziali non sono richieste se il server ha un account ospite.
Per l'exploit remoto è necessario disporre delle autorizzazioni di scrittura per almeno una condivisione.
Eternal Red eseguirà la scansione del server Samba alla ricerca di condivisioni su cui può scrivere. Determinerà anche il percorso completo della condivisione remota.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
È anche noto che i sistemi con SELinux abilitato non sono vulnerabili all'exploit.
Vedere Samba Flaw di 7 anni consente agli hacker di accedere a migliaia di PC Linux da remoto
Secondo il motore di ricerca di computer Shodan, oltre 485.000 computer abilitati Samba hanno esposto la porta 445 su Internet e, secondo i ricercatori di Rapid7, oltre 104.000 endpoint esposti a Internet sembravano avere versioni vulnerabili di Samba, di cui 92.000 sono con versioni non supportate di Samba.
Poiché Samba è il protocollo SMB implementato su sistemi Linux e UNIX, alcuni esperti affermano che si tratta della "versione Linux di EternalBlue" utilizzata dal ransomware WannaCry.
... o dovrei dire SambaCry?
Tenendo presente il numero di sistemi vulnerabili e la facilità di sfruttamento di questa vulnerabilità, il difetto di Samba potrebbe essere sfruttato su larga scala con funzionalità wormable.
Anche le reti domestiche con dispositivi NAS (Network-Attached Storage) [che eseguono anche Linux] potrebbero essere vulnerabili a questo difetto.
Vedi anche Un bug eseguibile di codice eseguibile in agguato in Samba da 7 anni. Patch ora!
Il difetto di sette anni, indicizzato come CVE-2017-7494, può essere sfruttato in modo affidabile con una sola riga di codice per eseguire codice dannoso, purché siano soddisfatte alcune condizioni. Tali requisiti includono computer vulnerabili che:
(a) rendere raggiungibile la porta 445 di condivisione file e stampanti su Internet,
(b) configurare i file condivisi in modo da disporre dei privilegi di scrittura e
(c) utilizzare percorsi server noti o indovinabili per tali file.
Quando tali condizioni sono soddisfatte, gli aggressori remoti possono caricare qualsiasi codice di loro scelta e causare l'esecuzione da parte del server, possibilmente con privilegi di root senza restrizioni, a seconda della piattaforma vulnerabile.
Data la facilità e l'affidabilità degli exploit, vale la pena tappare al più presto. Probabilmente è solo questione di tempo prima che gli attaccanti inizino a prenderlo di mira attivamente.
Anche Rapid 7 - Patching CVE-2017-7494 in Samba: It's the Circle of Life
E altro ancora SambaCry: The Linux Sequel to WannaCry .
Fatti da conoscere
CVE-2017-7494 ha un punteggio CVSS di 7.5 (CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.
Ambito di minaccia
Una query shodan.io di "port: 445! Os: windows" mostra circa un milione di host non Windows con tcp / 445 aperto su Internet, più della metà dei quali esiste negli Emirati Arabi Uniti (36%) e il Stati Uniti (16%). Sebbene molti di questi possano eseguire versioni con patch, avere protezioni SELinux o non corrispondere ai criteri necessari per eseguire l'exploit, la superficie di attacco possibile per questa vulnerabilità è ampia.
PS La correzione del commit nel progetto SAMBA github sembra essere commit 02a76d86db0cbe79fcaf1a500630e24d961fa149