Selon un article de rapid7 , certaines versions de Samba vulnérables permettent l'exécution de code à distance sur les systèmes Linux:
Bien que le ver de rançon WannaCry ait affecté les systèmes Windows et soit facilement identifiable, la vulnérabilité de Samba , avec des étapes de résolution claires, aura des conséquences sur les systèmes Linux et Unix et pourrait constituer un obstacle technique important à l’obtention ou au déploiement de mesures correctives appropriées.
Toutes les versions de Samba à partir de la version 3.5.0 sont exposées à une vulnérabilité d'exécution de code à distance, permettant à un client malveillant de télécharger une bibliothèque partagée sur un partage accessible en écriture, puis de charger et d'exécuter le serveur.
Scénario d'attaque possible:
A partir des deux facteurs:
- La vulnérabilité Samba n’a pas encore été corrigée sur certaines distributions Linux.
- Une vulnérabilité d'élévation des privilèges locale non corrigée existe sur certaines versions du noyau Linux (par exemple, CVE-2017-7308 sur le noyau Ubuntu 4.8.0-41 générique).
Un attaquant peut accéder à une machine Linux et élever ses privilèges en utilisant une vulnérabilité d'exploitation locale pour obtenir l'accès root et installer un éventuel futur ramsomware, similaire à celui-ci, simule le ransomware WannaCry pour Linux .
Mise à jour
Un article récent "Warning! Les pirates ont commencé à utiliser" SambaCry Flaw "pour pirater des systèmes Linux" explique comment utiliser la faille Sambacry pour infecter une machine Linux.
La prédiction s'est avérée assez précise, car les pots de miel mis en place par l'équipe de chercheurs de Kaspersky Lab ont capturé une campagne de programmes malveillants exploitant la vulnérabilité SambaCry afin d'infecter les ordinateurs Linux avec un logiciel d'extraction de crypto-monnaie.
Un autre chercheur en sécurité, Omri Ben Bassat, a découvert indépendamment la même campagne et l’a baptisée "EternalMiner" .
Selon les chercheurs, un groupe inconnu de pirates informatiques a commencé à détourner des ordinateurs Linux une semaine à peine après la divulgation publique de la faille Samba et l’installation de la version mise à niveau de «CPUminer», un logiciel d’extraction de crypto-monnaie qui exploite la monnaie numérique "Monero".
Après avoir compromis les machines vulnérables à l'aide de la vulnérabilité SambaCry, les attaquants exécutent deux charges utiles sur les systèmes ciblés:
INAebsGB.so - Un reverse-shell qui fournit un accès à distance aux attaquants.
cblRWuoCc.so - Une porte dérobée comprenant des utilitaires d’extraction de crypto-monnaie - CPUminer.
Rapport TrendLab publié le 18 juillet 2017: SambaCry: une nouvelle menace pour les utilisateurs de Linux
Comment sécuriser un système Linux pour éviter les attaques?
la source
Réponses:
Cette nouvelle vulnérabilité de Samba s'appelle déjà "Sambacry", alors que l'exploit lui-même mentionne "Eternal Red Samba", annoncé sur Twitter (de manière sensationnelle) comme:
Les versions de Samba potentiellement concernées vont de Samba 3.5.0 à 4.5.4 / 4.5.10 / 4.4.14.
Si votre installation Samba respecte les configurations décrites ci-dessous, le correctif / la mise à niveau doit être effectué dès que possible, car il existe déjà des exploits , d'autres exploits en python et des modules metasploit .
Plus assez intéressant, il y a des add-ons déjà un savoir honeypot le honeynet projet, dionaea deux à WannaCry et SambaCry plug-ins .
Samba Cry semble déjà être utilisé (ab) pour installer plus de crypto-mineurs "EternalMiner" ou doubler comme un dropper de malware .
La solution de contournement conseillée pour les systèmes sur lesquels Samba est installé (et qui figure également dans la notification CVE) avant de la mettre à jour est la suivante
smb.conf
:(et redémarrage du service Samba)
Ceci est supposé désactiver un paramètre qui active / désactive la possibilité d'établir des connexions anonymes au service de tubes nommés Windows IPC. De
man samba
:Cependant, de notre expérience interne, il semble que le correctif n'est pas compatible avec plus ancien? Les versions Windows (du moins certains? Les clients Windows 7 ne semblent pas fonctionner avec la
nt pipe support = no
), et en tant que telle, la voie de la correction peut aller dans des cas extrêmes à l’installation ou même à la compilation de Samba.Plus spécifiquement, ce correctif désactive la liste des partages des clients Windows et, s’ils sont appliqués, ils doivent spécifier manuellement le chemin complet du partage pour pouvoir les utiliser.
Une autre solution connue consiste à s'assurer que les partages Samba sont montés avec l'
noexec
option. Cela empêchera l'exécution des fichiers binaires résidant sur le système de fichiers monté.Le correctif officiel du code source de la sécurité est disponible sur la page de sécurité de samba.org .
Debian a déjà lancé hier (24/5) une mise à jour et l’avis de sécurité correspondant, DSA-3860-1, samba
Pour vérifier si la vulnérabilité est corrigée dans Centos / RHEL / Fedora et ses dérivés, procédez comme suit:
Il existe maintenant un
nmap
script de détection:samba-vuln-cve-2017-7494.nse
pour détecter les versions de Samba, ou unnmap
script bien meilleur qui vérifie si le service est vulnérable à l' adresse http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve. -2017-7494.nse , copiez-le dans/usr/share/nmap/scripts
, puis mettez à jour lanmap
base de données ou exécutez-le comme suit:Mesures à long terme pour protéger le service SAMBA: le protocole SMB ne doit jamais être offert directement à Internet au sens large.
Il va sans dire également que SMB a toujours été un protocole compliqué et que ce type de services devrait être protégé par un pare-feu et limité aux réseaux internes [auxquels ils sont desservis].
Lorsqu'un accès à distance est nécessaire, que ce soit vers le réseau domestique ou spécialement vers les réseaux d'entreprise, ces accès devraient être mieux réalisés à l'aide de la technologie VPN.
Comme d'habitude, dans ces situations, le principe Unix consistant à n'installer et activer que les services minimum requis s'avère payant.
Tiré de l'exploit lui-même:
Il est également connu que les systèmes sur lesquels SELinux est activé ne sont pas vulnérables à l'exploit.
Découvrez la faille Samba de 7 ans qui permet aux pirates d'accéder à des milliers de PC Linux à distance
Voir aussi Un bogue d’exécution de code vermifuge se cache dans Samba depuis 7 ans. Patch maintenant!
Aussi Rapid 7 - Patching CVE-2017-7494 à Samba: c'est le cercle de la vie
Et plus encore SambaCry: La suite Linux de WannaCry .
Post- scriptum Le correctif de validation dans le projet SAMBA github semble être commit 02a76d86db0cbe79fcaf1a500630e24d961fa149
la source
La plupart d’entre nous qui exploitons des serveurs Samba l’exécutons probablement à l’intérieur de réseaux locaux, derrière des pare-feu, et n’exposons pas ses ports directement au monde extérieur.
Ce serait une pratique affreuse si vous agissiez ainsi et une pratique inexcusable lorsqu'il existe des solutions VPN simples, efficaces et gratuites (comme dans le cas de la bière et de la parole) comme OpenVPN. SMB n'a pas été conçu pour Internet ouvert (diable, TCP / IP est même venu après coup dans ce protocole) et devrait être traité comme tel. Suggestion supplémentaire est en cours d' exécution des règles de pare - feu sur l'hôte de partage de fichiers réel qui ne la liste blanche du réseau local adresses (et éventuellement VPN) sur tous les ports SMB (
139/TCP
,445/TCP
,137/UDP
et138/UDP
).De plus, si votre cas d'utilisation le permet, vous devriez envisager d'exécuter Samba sans privilège (en tant
samba
qu'utilisateur non alias par exempleroot
). Je comprends que ce n’est pas si facile de marier les limitations des ACL NT avec des ACL POSIX avec cette configuration, mais s’il est possible de le faire dans votre configuration particulière, c’est la voie à suivre.Enfin, même avec un tel "verrouillage", il est toujours conseillé d'appliquer un correctif si vous le pouvez (car il existe des boîtes NAS où cela pourrait ne pas être faisable), et de vérifier si votre cas d'utilisation fonctionne avec
nt pipe support
set tono
.la source