SambaCry: A Linuxok lesznek a zsarolóvírusok következő célpontai?

A Samba 3.5.0 óta (2010 március 1.) meglévő és azóta minden Samba verziót érintő kritikus biztonsági sebezhetőséget fedeztek fel, melynek azónosítója a CVE-2017-7494 lett. Ezt a hibát kihasználva lehetővé válik távoli kód futtatása Linux és Unix rendszereken, így gyakorlatilag bármikor felbukkanhat egy olyan zsarolóvírus, ami kimondottan ezt a sebezhetőséget fogja kihasználni és amit a The Hacker News cikkírója frappáns módon SambaCry-nak nevezett el.
Kérdés, hogy a ransomware-ek készítői veszik-e a fáradtságot a Linuxos gépek támadására, mert a Linux elterjedtsége még mindig jelentősen kisebb a Windows-hoz képest.
A Samba  a nem Windows-os operációs rendszereken (mint a GNU/Linux, vagy a Mac OS X) elterjedt, hálózati megosztásokat lehetővé tevő szoftver, melyekkel fájlokat, mappákat és nyomtatókat oszthatunk meg.

Világszerte minden olyan eszköz érintett, ami Sambát használ, így nem csak pl. Debian, Ubuntu, Red Hat, Mac OS X számítógépek, vagy szerverek, hanem hálózati adattárolók (NAS), routerek, vagy egyéb eszközök is.

Szerencsére gyorsan kiadták a sebezhetőség javítását (itt elérhető), illetve útmutatást is közzétettek arra az esetre, ha valami miatt nincs lehetőség a Samba frissítésére. SambaCry: A Linuxok lesznek a zsarolóvírusok következő célpontai?

Ez utóbbi esetben elvileg elég a következő paramétert beállítani a Samba konfigurciós fájljában (smb.conf):

nt pipe support = no
Megjegyzés (XperiMent felhasználó hozzászólása alapján): ezt az smb.conf [global] részébe kell beírni, mentés után pedig újra kell indítani az smbd-t. A hátránya viszont az, hogy néhány funkciót nem fognak elérni a Windows-os kliensek, vagy egyáltalán nem tudnak kapcsolódni. Ezért mindenképpen a frissítés ajánlott!
A gyártók is kezdenek reagálni a hírekre, illetve a veszélyre. A NetGear kiadott egy biztonsági előírásokról szóló közleményt, illetve új firmware-t is az OS 6.x rendszereket futtató ReadyNAS termékeikhez.

Korábbi cikkünkben a QNAP is felismerte a zsarolóvírusok okozta problémákat, melyről itt olvashattok:

https://itfroccs.hu/a-qnap-bemutatja-a-megosztott-mappa-alapu-pillanatkep-mentest

 

therhackernews

Szerző

admin3 képe
admin3

Jancsek Árpád (admin3)

Informatikus, rendszergazda.
Fő érdeklődési körébe főleg a hardverek és a hálózati megoldások tartoznak, de a mobil világ is egyre inkább magával rántja.
Részben saját társas informatikai vállalkozásban jelenleg orvosokkal, valamint mikro-, kis-, és középvállalatokkal áll kapcsolatban.


 


 

Hozzászólások

XperiMent képe

Ha a workaroundot beállítjuk, akkor viszont gond lesz a windows-os kliensek csatlakozásával, szóval inkább frissíteni kell. Én tesztből beállítottam, de így nem tudtam csatlakozni a Sambámra wines klienssel.

https://www.samba.org/samba/security/CVE-2017-7494.html

==========
Workaround
==========

Add the parameter:

nt pipe support = no

to the [global] section of your smb.conf and restart smbd. This
prevents clients from accessing any named pipe endpoints. Note this
can disable some expected functionality for Windows clients.

XperiMent képe

Szívesen :)
Remélem, hamarosan jön a frissített csomag Ubuntu 16.04-re is, mert szerintem sokan nem állnak neki kézzel patch-elgetni.
Kipróbáltam amúgy, a linuxos kliensek az opció beállítása után is simán tudnak csatlakozni, csak a windows-osok nem.

Itt található egy nmap script is, aminek a segítségével ellenőrizhető, hogy sérülékeny-e a rendszer:
https://www.guardicore.com/2017/05/samba/

Sajnos csak e-mailcím megadása után tölthető le.

A workaround beállítása után a script eredménye:

nmap -script gc-SambaCry.nse -p445 x.x.x.x

Starting Nmap 7.01 ( https://nmap.org ) at 2017-05-29 15:15 CEST
Nmap scan report for x.x.x.x
Host is up (0.000055s latency).
PORT STATE SERVICE
445/tcp open microsoft-ds

Host script results:
| gc-SambaCry:
| State: Vulnerability not detected
| Samba-vuln-CVE-2017-7494
| Summary: Remote code execution from a writable share.
| Description: A Samba vulnerability (CVE-2017-7494) that enables a malicious attacker with valid write access to a file share to upload and execute an arbitrary binary file which will run with Samba permissions.
| Affected Version: All versions of Samba from 3.5.0 onwards.
|_ For more info: https://www.guardicore.com/2017/05/samba/

Nmap done: 1 IP address (1 host up) scanned in 0.88 seconds

Előtte potentially vulnerable volt, viszont ugye így meg kiöntöttük a gyereket is a fürdővízzel :)