Laut einem Artikel von rapid7 gibt es einige anfällige Samba- Versionen, die eine Remote-Codeausführung auf Linux-Systemen ermöglichen:
Während der WannaCry- Lösegeldwurm Windows-Systeme angegriffen hat und leicht zu identifizieren war, wirkt sich die Samba- Sicherheitsanfälligkeit mit eindeutigen Korrekturmaßnahmen auf Linux- und Unix-Systeme aus und kann erhebliche technische Hindernisse für den Erhalt oder die Bereitstellung geeigneter Korrekturmaßnahmen darstellen.
Alle Versionen von Samba ab 3.5.0 sind anfällig für eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, die es einem böswilligen Client ermöglicht, eine gemeinsam genutzte Bibliothek auf eine beschreibbare Freigabe hochzuladen und dann den Server zum Laden und Ausführen zu veranlassen.
Mögliches Angriffsszenario:
Ausgehend von den beiden Faktoren:
- Die Samba-Schwachstelle ist in einigen Linux-Distributionen noch nicht behoben .
- In einigen Linux-Kernelversionen (z. B. CVE-2017-7308 im Ubuntu-Kernel 4.8.0-41) liegt eine nicht gepatchte lokale Eskalationsanfälligkeit vor.
Ein Angreifer kann auf einen Linux-Computer zugreifen und mithilfe einer lokalen Exploit-Sicherheitsanfälligkeit die Berechtigungen erhöhen, um den Root-Zugriff zu erlangen und eine mögliche zukünftige Ramsomware zu installieren, ähnlich der nachgebildeten WannaCry-Ransomware für Linux .
Aktualisieren
Ein neuester Artikel "Warnung! Hacker, die mit" SambaCry Flaw "begonnen haben, um Linux-Systeme zu hacken " zeigt, wie man den Sambacry-Fehler verwendet, um einen Linux-Rechner zu infizieren.
Die Vorhersage erwies sich als ziemlich genau, da Honeypots, die vom Forscherteam von Kaspersky Lab erstellt wurden, eine Malware-Kampagne erfasst haben, die die SambaCry-Schwachstelle ausnutzt, um Linux-Computer mit Cryptocurrency-Mining-Software zu infizieren.
Ein anderer Sicherheitsforscher, Omri Ben Bassat, entdeckte unabhängig die gleiche Kampagne und nannte sie "EternalMiner" .
Laut den Forschern hat eine unbekannte Gruppe von Hackern bereits eine Woche nach der Veröffentlichung des Samba-Fehlers damit begonnen, Linux-PCs zu entführen und eine aktualisierte Version von "CPUminer" zu installieren, einer Cryptocurrency-Mining-Software, die die digitale Währung "Monero" abbaut.
Nachdem die anfälligen Computer mithilfe der SambaCry-Sicherheitsanfälligkeit gefährdet wurden, führen Angreifer zwei Nutzdaten auf den Zielsystemen aus:
INAebsGB.so - Eine Reverse-Shell, die den Angreifern den Fernzugriff ermöglicht.
cblRWuoCc.so - Eine Hintertür, die Kryptowährungs-Mining-Dienstprogramme enthält - CPUminer.
TrendLab-Bericht veröffentlicht am 18. Juli 2017: Linux-Benutzer werden aufgefordert, ein Update durchzuführen, wenn eine neue Bedrohung SambaCry ausnutzt
Wie schütze ich ein Linux-System vor Angriffen?
quelle
Antworten:
Diese neue Samba-Schwachstelle wird bereits "Sambacry" genannt, während der Exploit selbst "Eternal Red Samba" erwähnt, das in Twitter (sensationell) angekündigt wurde als:
Potenziell betroffene Samba-Versionen sind Samba 3.5.0 bis 4.5.4 / 4.5.10 / 4.4.14.
Wenn Ihre Samba-Installation den unten beschriebenen Konfigurationen entspricht, sollte das Fix / Upgrade so schnell wie möglich durchgeführt werden, da bereits Exploits vorhanden sind , andere Exploits in Python- und Metasploit- Modulen.
Interessanterweise gibt es bereits Add-Ons für einen bekannten Honeypot aus dem Honeynet- Projekt, dionaea sowohl für WannaCry- als auch für SambaCry-Plug-Ins .
Samba cry wird anscheinend bereits (ab) verwendet, um weitere Crypto-Miner "EternalMiner" zu installieren oder sich in Zukunft als Malware-Dropper zu verdoppeln .
Die empfohlene Problemumgehung für Systeme, auf denen Samba installiert ist (die auch in der CVE-Mitteilung enthalten ist), bevor Sie es aktualisieren, fügt Folgendes hinzu
smb.conf
:(und Neustart des Samba-Dienstes)
Hiermit soll eine Einstellung deaktiviert werden, mit der die Möglichkeit zum Herstellen anonymer Verbindungen zum Windows IPC-Dienst für Named Pipes aktiviert / deaktiviert wird. Von
man samba
:Aus unserer internen Erfahrung scheint es jedoch, dass das Update nicht mit älteren kompatibel ist? Windows-Versionen (zumindest einige Windows 7-Clients scheinen mit dem nicht zu funktionieren
nt pipe support = no
), und als solche kann die Korrekturroute in extremen Fällen in die Installation oder sogar das Kompilieren von Samba gehen.Insbesondere wird durch dieses Update die Auflistung von Freigaben von Windows-Clients deaktiviert. Wenn dies angewendet wird, muss der vollständige Pfad der Freigabe manuell angegeben werden, um sie verwenden zu können.
Eine andere bekannte Problemumgehung besteht darin, sicherzustellen, dass Samba-Freigaben mit der
noexec
Option bereitgestellt werden. Dies verhindert die Ausführung von Binärdateien, die sich auf dem bereitgestellten Dateisystem befinden.Der offizielle Sicherheits-Quellcode-Patch befindet sich hier auf der Sicherheitsseite von samba.org .
Debian hat gestern (24/5) bereits ein Update aus der Tür geschoben und den entsprechenden Sicherheitshinweis DSA-3860-1 Samba
Um zu überprüfen, ob die Sicherheitsanfälligkeit in Centos / RHEL / Fedora und Derivaten behoben ist, gehen Sie wie folgt vor:
Es gibt jetzt ein
nmap
Erkennungsskript:samba-vuln-cve-2017-7494.nse
zum Erkennen von Samba-Versionen oder ein viel besseresnmap
Skript, das überprüft, ob der Dienst anfällig ist unter http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve Kopieren Sie die Datei in die Datei -2017-7494.nse ,/usr/share/nmap/scripts
und aktualisieren Sie sie anschließendnmap
, oder führen Sie sie wie folgt aus:Über langfristige Maßnahmen zum Schutz des SAMBA-Dienstes: Das SMB-Protokoll sollte niemals direkt im Internet angeboten werden.
Es versteht sich auch von selbst, dass SMB seit jeher ein verschachteltes Protokoll ist und dass diese Art von Diensten durch eine Firewall geschützt und auf die internen Netzwerke beschränkt werden sollte [an die sie geliefert werden].
Wenn ein Remotezugriff zu Hause oder speziell zu Unternehmensnetzwerken erforderlich ist, sollten diese Zugriffe besser über die VPN-Technologie erfolgen.
In solchen Situationen zahlt sich wie üblich das Unix-Prinzip aus, nur die erforderlichen Mindestdienste zu installieren und zu aktivieren.
Entnommen aus dem Exploit selbst:
Es ist auch bekannt, dass Systeme mit aktiviertem SELinux für den Exploit nicht anfällig sind.
Siehe 7-jähriger Samba-Fehler: Ermöglicht Hackern den Remotezugriff auf Tausende von Linux-PCs
Siehe auch In Samba lauert seit 7 Jahren ein Wurm-Fehler bei der Codeausführung. Patch jetzt!
Auch Rapid 7 - CVE-2017-7494 in Samba patchen: Es ist der Kreislauf des Lebens
Und noch mehr SambaCry: Die Linux-Fortsetzung von WannaCry .
PS Der Commit-Fix im SAMBA-Github-Projekt scheint Commit 02a76d86db0cbe79fcaf1a500630e24d961fa149 zu sein
quelle
Die meisten von uns, auf denen Samba-Server ausgeführt werden, laufen wahrscheinlich innerhalb von LANs, hinter Firewalls, und setzen ihre Ports nicht direkt der Außenwelt aus.
Es wäre eine schreckliche Übung, wenn Sie dies tun würden, und eine unentschuldbare, wenn es einfache, effektive und kostenlose (wie bei Bier und wie bei Sprache) VPN-Lösungen wie OpenVPN gibt. SMB wurde nicht mit Blick auf das offene Internet entwickelt (TCP / IP war sogar ein nachträglicher Gedanke in diesem Protokoll) und sollte als solches behandelt werden. Zusätzlicher Vorschlag Firewall - Regeln auf der tatsächlichen File - Sharing - Host ausgeführt wird, die nur lokale weiße Liste (und schließlich VPN) Netzwerk - Adressen auf all SMB - Ports (
139/TCP
,445/TCP
,137/UDP
und138/UDP
).Wenn Ihr Anwendungsfall es zulässt, sollten Sie erwägen, Samba unprivilegiert auszuführen (beispielsweise als
samba
Benutzer, dessen Alias kein Alias istroot
). Ich verstehe, dass es mit diesem Setup nicht so einfach ist, Einschränkungen von NT-ACLs mit POSIX-ACLs zu verbinden, aber wenn dies in Ihrem speziellen Setup möglich ist, ist es der richtige Weg.Schließlich ist es auch bei einem solchen "Lockdown" ratsam, nach Möglichkeit einen Patch anzuwenden (da es NAS-Boxen gibt, auf denen dies möglicherweise nicht möglich ist) und zu testen, ob Ihr bestimmter Anwendungsfall mit
nt pipe support
set to funktioniertno
.quelle