"WannaCry" auf Linux-Systemen: Wie schützen Sie sich?

73

Laut einem Artikel von rapid7 gibt es einige anfällige Samba- Versionen, die eine Remote-Codeausführung auf Linux-Systemen ermöglichen:

Während der WannaCry- Lösegeldwurm Windows-Systeme angegriffen hat und leicht zu identifizieren war, wirkt sich die Samba- Sicherheitsanfälligkeit mit eindeutigen Korrekturmaßnahmen auf Linux- und Unix-Systeme aus und kann erhebliche technische Hindernisse für den Erhalt oder die Bereitstellung geeigneter Korrekturmaßnahmen darstellen.

CVE-2017-7494

Alle Versionen von Samba ab 3.5.0 sind anfällig für eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, die es einem böswilligen Client ermöglicht, eine gemeinsam genutzte Bibliothek auf eine beschreibbare Freigabe hochzuladen und dann den Server zum Laden und Ausführen zu veranlassen.

Mögliches Angriffsszenario:

Ausgehend von den beiden Faktoren:

  • Die Samba-Schwachstelle ist in einigen Linux-Distributionen noch nicht behoben .
  • In einigen Linux-Kernelversionen (z. B. CVE-2017-7308 im Ubuntu-Kernel 4.8.0-41) liegt eine nicht gepatchte lokale Eskalationsanfälligkeit vor.

Ein Angreifer kann auf einen Linux-Computer zugreifen und mithilfe einer lokalen Exploit-Sicherheitsanfälligkeit die Berechtigungen erhöhen, um den Root-Zugriff zu erlangen und eine mögliche zukünftige Ramsomware zu installieren, ähnlich der nachgebildeten WannaCry-Ransomware für Linux .

Aktualisieren

Ein neuester Artikel "Warnung! Hacker, die mit" SambaCry Flaw "begonnen haben, um Linux-Systeme zu hacken " zeigt, wie man den Sambacry-Fehler verwendet, um einen Linux-Rechner zu infizieren.

Die Vorhersage erwies sich als ziemlich genau, da Honeypots, die vom Forscherteam von Kaspersky Lab erstellt wurden, eine Malware-Kampagne erfasst haben, die die SambaCry-Schwachstelle ausnutzt, um Linux-Computer mit Cryptocurrency-Mining-Software zu infizieren.

Ein anderer Sicherheitsforscher, Omri Ben Bassat, entdeckte unabhängig die gleiche Kampagne und nannte sie "EternalMiner" .

Laut den Forschern hat eine unbekannte Gruppe von Hackern bereits eine Woche nach der Veröffentlichung des Samba-Fehlers damit begonnen, Linux-PCs zu entführen und eine aktualisierte Version von "CPUminer" zu installieren, einer Cryptocurrency-Mining-Software, die die digitale Währung "Monero" abbaut.

Nachdem die anfälligen Computer mithilfe der SambaCry-Sicherheitsanfälligkeit gefährdet wurden, führen Angreifer zwei Nutzdaten auf den Zielsystemen aus:

INAebsGB.so - Eine Reverse-Shell, die den Angreifern den Fernzugriff ermöglicht.

cblRWuoCc.so - Eine Hintertür, die Kryptowährungs-Mining-Dienstprogramme enthält - CPUminer.

TrendLab-Bericht veröffentlicht am 18. Juli 2017: Linux-Benutzer werden aufgefordert, ein Update durchzuführen, wenn eine neue Bedrohung SambaCry ausnutzt

Wie schütze ich ein Linux-System vor Angriffen?

GAD3R
quelle
22
WannaCry ist Windows-Malware. Es könnte ein Unix-Virus geschrieben werden, der dieses nicht verwandte Problem mit dieser nicht verwandten Implementierung desselben Protokolls ausnutzt, aber dies hat nichts mit der Windows-Malware zu tun. Dieser Link, den Sie zu WannaCry für Linux geben, ist ein Scherz. Wenn Sie den Quellcode überfliegen, sieht er aus wie die Ausgabe einer grafischen "make your own gui" -Software, die kein aktuelles Programm enthält, sondern eine GUI, die nichts tut.
Niemand
2
@ GAD3R mit meinem iPhone mit Google Translate / Kameramodus Die chinesischen Kommentare besagen, dass die Quelle nicht vollständig ist. Ich würde empfehlen, die Frage rund um das CVE zu überarbeiten, den Github-Link zu löschen und nicht über Ransomware, die noch nicht existiert; oder wenn du diese Idee noch umgehen willst, ist es nur ein Mock-up dieser Idee, den Github-Link explizit zu machen
Rui F Ribeiro
8
@ GAD3R Ja, wenn jemand über Fernzugriff mit hohen Rechten auf mein System zugreifen kann, ist es viel einfacher, nur native Linux-Dienstprogramme zum Verschlüsseln meiner Festplatte zu verwenden und eine solche QT-GUI in den Hoax zu schreiben. Alle aktuellen Funktionen (dh die Verbreitung) von WannaCry hängen von Windows-Exploits ab. Das Erwähnen von "WannaCry" ist schlicht und ergreifend.
Niemand
6
@Nobody Um fair zu sein, glaube ich, dass das OP in gutem Glauben ist und sich nicht bewusst ist, dass es nur eine GUI ist. Wir sind keine chinesischen Eingeborenen, die Kommentare lesen, und wie er selbst sagt, ist er mit dem Lesen von Quellcode nicht sehr vertraut. IMO sind die Parallelen zwischen den beiden Schwachstellen, unter Angabe des Timings, ebenfalls angebracht. Gib es etwas lockerer. Die Auswirkungen des CVE selbst sind jedoch besorgniserregend.
Rui F Ribeiro
3
IMO Ich würde nicht empfehlen, die Frage zu schließen, wenn jemand eine andere Idee hat, mach weiter. Ich habe den Fragentext überarbeitet, um eine noch nicht erstellte Ransomware nicht zu erwähnen. Die erwähnte Problemumgehung war zumindest in einem noch vorhandenen Altsystem nützlich.
Rui F Ribeiro

Antworten:

102

Diese neue Samba-Schwachstelle wird bereits "Sambacry" genannt, während der Exploit selbst "Eternal Red Samba" erwähnt, das in Twitter (sensationell) angekündigt wurde als:

Samba-Fehler, der auszulösende Metasploit-Einzeiler ist einfach: simple.create_pipe ("/ path / to / target.so")

Potenziell betroffene Samba-Versionen sind Samba 3.5.0 bis 4.5.4 / 4.5.10 / 4.4.14.

Wenn Ihre Samba-Installation den unten beschriebenen Konfigurationen entspricht, sollte das Fix / Upgrade so schnell wie möglich durchgeführt werden, da bereits Exploits vorhanden sind , andere Exploits in Python- und Metasploit- Modulen.

Interessanterweise gibt es bereits Add-Ons für einen bekannten Honeypot aus dem Honeynet- Projekt, dionaea sowohl für WannaCry- als auch für SambaCry-Plug-Ins .

Samba cry wird anscheinend bereits (ab) verwendet, um weitere Crypto-Miner "EternalMiner" zu installieren oder sich in Zukunft als Malware-Dropper zu verdoppeln .

Von einem Forscherteam von Kaspersky Lab eingerichtete Honeypots haben eine Malware-Kampagne erfasst, die die SambaCry-Schwachstelle ausnutzt, um Linux-Computer mit Cryptocurrency-Mining-Software zu infizieren. Ein anderer Sicherheitsforscher, Omri Ben Bassat, entdeckte dieselbe Kampagne unabhängig und nannte sie "EternalMiner".

Die empfohlene Problemumgehung für Systeme, auf denen Samba installiert ist (die auch in der CVE-Mitteilung enthalten ist), bevor Sie es aktualisieren, fügt Folgendes hinzu smb.conf:

nt pipe support = no

(und Neustart des Samba-Dienstes)

Hiermit soll eine Einstellung deaktiviert werden, mit der die Möglichkeit zum Herstellen anonymer Verbindungen zum Windows IPC-Dienst für Named Pipes aktiviert / deaktiviert wird. Von man samba:

Diese globale Option wird von Entwicklern verwendet, um Windows NT / 2000 / XP-Clients das Herstellen von Verbindungen zu NT-spezifischen SMB-IPC $ -Pipes zu ermöglichen oder zu untersagen. Als Benutzer sollten Sie niemals die Standardeinstellung überschreiben müssen.

Aus unserer internen Erfahrung scheint es jedoch, dass das Update nicht mit älteren kompatibel ist? Windows-Versionen (zumindest einige Windows 7-Clients scheinen mit dem nicht zu funktionieren nt pipe support = no), und als solche kann die Korrekturroute in extremen Fällen in die Installation oder sogar das Kompilieren von Samba gehen.

Insbesondere wird durch dieses Update die Auflistung von Freigaben von Windows-Clients deaktiviert. Wenn dies angewendet wird, muss der vollständige Pfad der Freigabe manuell angegeben werden, um sie verwenden zu können.

Eine andere bekannte Problemumgehung besteht darin, sicherzustellen, dass Samba-Freigaben mit der noexecOption bereitgestellt werden. Dies verhindert die Ausführung von Binärdateien, die sich auf dem bereitgestellten Dateisystem befinden.

Der offizielle Sicherheits-Quellcode-Patch befindet sich hier auf der Sicherheitsseite von samba.org .

Debian hat gestern (24/5) bereits ein Update aus der Tür geschoben und den entsprechenden Sicherheitshinweis DSA-3860-1 Samba

Um zu überprüfen, ob die Sicherheitsanfälligkeit in Centos / RHEL / Fedora und Derivaten behoben ist, gehen Sie wie folgt vor:

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

Es gibt jetzt ein nmapErkennungsskript: samba-vuln-cve-2017-7494.nse zum Erkennen von Samba-Versionen oder ein viel besseres nmapSkript, das überprüft, ob der Dienst anfällig ist unter http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve Kopieren Sie die Datei in die Datei -2017-7494.nse , /usr/share/nmap/scriptsund aktualisieren Sie sie anschließend nmap, oder führen Sie sie wie folgt aus:

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

Über langfristige Maßnahmen zum Schutz des SAMBA-Dienstes: Das SMB-Protokoll sollte niemals direkt im Internet angeboten werden.

Es versteht sich auch von selbst, dass SMB seit jeher ein verschachteltes Protokoll ist und dass diese Art von Diensten durch eine Firewall geschützt und auf die internen Netzwerke beschränkt werden sollte [an die sie geliefert werden].

Wenn ein Remotezugriff zu Hause oder speziell zu Unternehmensnetzwerken erforderlich ist, sollten diese Zugriffe besser über die VPN-Technologie erfolgen.

In solchen Situationen zahlt sich wie üblich das Unix-Prinzip aus, nur die erforderlichen Mindestdienste zu installieren und zu aktivieren.

Entnommen aus dem Exploit selbst:

Ewige rote Samba-Ausbeutung - CVE-2017-7494.
Bewirkt, dass der anfällige Samba-Server eine gemeinsam genutzte Bibliothek im Stammkontext lädt.
Anmeldeinformationen sind nicht erforderlich, wenn der Server über ein Gastkonto verfügt.
Für den Remote-Exploit müssen Sie über Schreibberechtigungen für mindestens eine Freigabe verfügen.
Eternal Red durchsucht den Samba-Server nach Freigaben, auf die er schreiben kann. Es wird auch der vollständige Pfad der Remote-Freigabe ermittelt.

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

Es ist auch bekannt, dass Systeme mit aktiviertem SELinux für den Exploit nicht anfällig sind.

Siehe 7-jähriger Samba-Fehler: Ermöglicht Hackern den Remotezugriff auf Tausende von Linux-PCs

Nach Angaben der Shodan-Computersuchmaschine haben mehr als 485.000 Samba-fähige Computer Port 445 im Internet verfügbar gemacht, und nach Angaben von Forschern von Rapid7 werden auf mehr als 104.000 internetexponierten Endpunkten anfällige Versionen von Samba ausgeführt, wovon 92.000 betroffen sind Ausführen nicht unterstützter Versionen von Samba.

Da Samba das SMB-Protokoll ist, das auf Linux- und UNIX-Systemen implementiert ist, sprechen einige Experten von der "Linux-Version von EternalBlue", die von der WannaCry-Ransomware verwendet wird.

... oder soll ich SambaCry sagen?

In Anbetracht der Anzahl an anfälligen Systemen und der einfachen Ausnutzung dieser Sicherheitsanfälligkeit könnte der Samba-Fehler in großem Umfang mit wormbaren Funktionen ausgenutzt werden.

Heimnetzwerke mit NAS-Geräten (Network-Attached Storage) [auf denen auch Linux ausgeführt wird] sind möglicherweise ebenfalls anfällig für diesen Fehler.

Siehe auch In Samba lauert seit 7 Jahren ein Wurm-Fehler bei der Codeausführung. Patch jetzt!

Der sieben Jahre alte Fehler, der als CVE-2017-7494 indiziert ist, kann mit nur einer Codezeile zuverlässig ausgenutzt werden, um bösartigen Code auszuführen, sofern einige Bedingungen erfüllt sind. Zu diesen Anforderungen gehören anfällige Computer, die:

(a) den Datei- und Druckerfreigabeport 445 im Internet zugänglich machen,
(b) gemeinsam genutzte Dateien mit Schreibrechten konfigurieren und
(c) bekannte oder erratbare Serverpfade für diese Dateien verwenden.

Wenn diese Bedingungen erfüllt sind, können entfernte Angreifer einen Code ihrer Wahl hochladen und den Server dazu veranlassen, ihn auszuführen, möglicherweise mit uneingeschränkten Root-Rechten, abhängig von der anfälligen Plattform.

Angesichts der Leichtigkeit und Zuverlässigkeit von Exploits lohnt es sich, dieses Loch so schnell wie möglich zu schließen. Es ist wahrscheinlich nur eine Frage der Zeit, bis Angreifer aktiv auf sie zielen.

Auch Rapid 7 - CVE-2017-7494 in Samba patchen: Es ist der Kreislauf des Lebens

Und noch mehr SambaCry: Die Linux-Fortsetzung von WannaCry .

Wissenswertes

CVE-2017-7494 hat einen CVSS-Wert von 7,5 (CVSS: 3,0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.

Bedrohungsumfang

Eine shodan.io-Abfrage von "port: 445! Os: windows" zeigt ungefähr eine Million Nicht-Windows-Hosts, auf denen TCP / 445 für das Internet geöffnet ist, von denen mehr als die Hälfte in den Vereinigten Arabischen Emiraten (36%) und den Vereinigten Arabischen Emiraten existiert USA (16%). Während viele von diesen möglicherweise gepatchte Versionen ausführen, über SELinux-Schutzfunktionen verfügen oder anderweitig nicht den erforderlichen Kriterien für die Ausführung des Exploits entsprechen, ist die mögliche Angriffsfläche für diese Sicherheitsanfälligkeit groß.

PS Der Commit-Fix im SAMBA-Github-Projekt scheint Commit 02a76d86db0cbe79fcaf1a500630e24d961fa149 zu sein

Rui F Ribeiro
quelle
2
Bitte schön. Ich möchte hinzufügen, dass ich in meiner Zeitzone gestern um 9 Uhr morgens
Rui F. Ribeiro,
6
Im Gegensatz zu Windows ist Samba in den meisten Linux-Distributionen nicht standardmäßig aktiviert, oder?
Raffael
1
@raphael Tatsächlich, aber wenn ich für jeden Server, den ich mit dem kompletten Satz installierter Kern-DVDs gefunden habe, einen Cent bekommen hätte ... Ich habe die Antwort leicht bearbeitet, um diese Idee anzusprechen.
Rui F Ribeiro
9
Soweit ich weiß, überprüft das nmap-Skript nur die Samba-Version, nicht, ob Sie verwundbar sind. AFAICT, um die Sicherheitsanfälligkeit auszunutzen, müssen Dateien auf den Server hochgeladen werden können. Die Sicherheitsanfälligkeit ist also nirgends so gravierend wie in Eternalblue Windows. Wenn Sie das Hochladen von Dateien über das Internet ohne Authentifizierung zulassen, haben Sie ein Problem, ob Samba anfällig ist oder nicht.
Stéphane Chazelas
1
@ StéphaneChazelas danke, ich hatte noch keine Zeit, das Skript zu überprüfen
Rui F Ribeiro
21

Die meisten von uns, auf denen Samba-Server ausgeführt werden, laufen wahrscheinlich innerhalb von LANs, hinter Firewalls, und setzen ihre Ports nicht direkt der Außenwelt aus.

Es wäre eine schreckliche Übung, wenn Sie dies tun würden, und eine unentschuldbare, wenn es einfache, effektive und kostenlose (wie bei Bier und wie bei Sprache) VPN-Lösungen wie OpenVPN gibt. SMB wurde nicht mit Blick auf das offene Internet entwickelt (TCP / IP war sogar ein nachträglicher Gedanke in diesem Protokoll) und sollte als solches behandelt werden. Zusätzlicher Vorschlag Firewall - Regeln auf der tatsächlichen File - Sharing - Host ausgeführt wird, die nur lokale weiße Liste (und schließlich VPN) Netzwerk - Adressen auf all SMB - Ports ( 139/TCP, 445/TCP, 137/UDPund 138/UDP).

Wenn Ihr Anwendungsfall es zulässt, sollten Sie erwägen, Samba unprivilegiert auszuführen (beispielsweise als sambaBenutzer, dessen Alias ​​kein Alias ​​ist root). Ich verstehe, dass es mit diesem Setup nicht so einfach ist, Einschränkungen von NT-ACLs mit POSIX-ACLs zu verbinden, aber wenn dies in Ihrem speziellen Setup möglich ist, ist es der richtige Weg.

Schließlich ist es auch bei einem solchen "Lockdown" ratsam, nach Möglichkeit einen Patch anzuwenden (da es NAS-Boxen gibt, auf denen dies möglicherweise nicht möglich ist) und zu testen, ob Ihr bestimmter Anwendungsfall mit nt pipe supportset to funktioniert no.

Bojan Markovic
quelle
4
"Es ist nur im Intranet zugänglich", dachten sich wahrscheinlich einige der Administratoren in Unternehmen, in denen WannaCry verbreitet hat.
Carsten S