Kerentanan baru Samba ini sudah disebut "Sambacry", sementara eksploitasi itu sendiri menyebutkan "Eternal Red Samba", diumumkan di twitter (sensasional) sebagai:
Samba bug, metasploit one-liner untuk memicu hanyalah: simple.create_pipe ("/ path / to / target.so")
Versi Samba yang berpotensi terkena dampak adalah dari Samba 3.5.0 hingga 4.5.4 / 4.5.10 / 4.4.14.
Jika instalasi Samba Anda memenuhi konfigurasi yang dijelaskan di bawah ini, perbaikan / peningkatan harus dilakukan secepatnya karena sudah ada exploit , exploit lain dalam python dan
modul metasploit di luar sana.
Lebih cukup menarik, sudah ada add-ons untuk honeypot tahu dari Honeynet proyek, Dionaea baik untuk WannaCry dan SambaCry plug-in .
Samba cry tampaknya sudah (ab) digunakan untuk menginstal lebih banyak crypto-miners "EternalMiner" atau menjadi double-dropper sebagai malware dropper di masa depan .
honeypots yang dibuat oleh tim peneliti dari Kaspersky Lab telah menangkap kampanye malware yang mengeksploitasi kerentanan SambaCry untuk menginfeksi komputer Linux dengan perangkat lunak penambangan cryptocurrency. Peneliti keamanan lain, Omri Ben Bassat, secara independen menemukan kampanye yang sama dan menamakannya "EternalMiner."
Solusi yang disarankan untuk sistem dengan Samba diinstal (yang juga ada dalam pemberitahuan CVE) sebelum memperbaruinya, ditambahkan ke smb.conf:
nt pipe support = no
(dan memulai kembali layanan Samba)
Ini seharusnya menonaktifkan pengaturan yang mengaktifkan / menonaktifkan kemampuan untuk membuat koneksi anonim ke windows IPC bernama layanan pipa. Dari man samba:
Opsi global ini digunakan oleh pengembang untuk memungkinkan atau melarang klien Windows NT / 2000 / XP kemampuan untuk membuat koneksi ke pipa khusus SMB IPC $ NT. Sebagai pengguna, Anda tidak perlu menimpa default.
Namun dari pengalaman internal kami, sepertinya perbaikannya tidak kompatibel dengan yang lebih lama? Versi Windows (setidaknya beberapa? Windows 7 klien tampaknya tidak bekerja dengan nt pipe support = no), dan dengan demikian rute perbaikan dapat masuk dalam kasus ekstrim ke menginstal atau bahkan mengkompilasi Samba.
Lebih khusus lagi, perbaikan ini menonaktifkan daftar share dari klien Windows, dan jika diterapkan mereka harus secara manual menentukan path lengkap dari share untuk dapat menggunakannya.
Solusi lain yang diketahui adalah untuk memastikan saham Samba dipasang dengan noexecopsi. Ini akan mencegah eksekusi binari yang berada di sistem file yang di-mount.
Patch kode sumber keamanan resmi ada di sini dari halaman keamanan samba.org .
Debian sudah mendorong kemarin (24/5) pembaruan keluar pintu, dan pemberitahuan keamanan yang sesuai DSA-3860-1 samba
Untuk memverifikasi jika kerentanan diperbaiki di Centos / RHEL / Fedora dan turunan, lakukan:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Sekarang ada nmapskrip pendeteksi: samba-vuln-cve-2017-7494.nse untuk mendeteksi versi Samba, atau nmapskrip yang jauh lebih baik yang memeriksa apakah layanan tersebut rentan di http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , salin ke /usr/share/nmap/scriptslalu perbarui nmapdatabase, atau jalankan sebagai berikut:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Tentang langkah-langkah jangka panjang untuk melindungi layanan SAMBA: Protokol SMB tidak boleh ditawarkan secara langsung ke Internet pada umumnya.
Tak perlu dikatakan lagi bahwa SMB selalu menjadi protokol yang berbelit-belit, dan bahwa layanan semacam ini harus diblokir dan dibatasi untuk jaringan internal [di mana mereka dilayani].
Ketika akses jarak jauh diperlukan, baik ke rumah atau khusus ke jaringan perusahaan, akses tersebut harus dilakukan dengan lebih baik menggunakan teknologi VPN.
Seperti biasa, pada situasi ini prinsip Unix hanya menginstal dan mengaktifkan layanan minimum yang diperlukan memang terbayar.
Diambil dari exploit itu sendiri:
Eksploitasi Samba Merah Abadi - CVE-2017-7494.
Menyebabkan server Samba rentan memuat pustaka bersama dalam konteks root.
Kredensial tidak diperlukan jika server memiliki akun tamu.
Untuk eksploit jarak jauh Anda harus memiliki izin menulis untuk setidaknya satu share.
Eternal Red akan memindai server Samba untuk mengetahui bagian yang dapat ditulisi. Ini juga akan menentukan jalan penuh dari share jarak jauh.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
Juga diketahui bahwa sistem dengan SELinux yang diaktifkan tidak rentan terhadap eksploitasi.
Lihat Celah Samba 7 Tahun Memungkinkan Hacker Mengakses Ribuan PC Linux dari Jarak Jauh
Menurut mesin pencari komputer Shodan, lebih dari 485.000 komputer yang mendukung Samba mengekspos port 445 di Internet, dan menurut para peneliti di Rapid7, lebih dari 104.000 titik akhir yang terpapar internet tampaknya menjalankan versi Samba yang rentan, di mana 92.000 di antaranya adalah menjalankan versi Samba yang tidak didukung.
Karena Samba adalah protokol SMB yang diimplementasikan pada sistem Linux dan UNIX, maka beberapa ahli mengatakan itu adalah "Linux versi EternalBlue," yang digunakan oleh ransomware WannaCry.
... atau haruskah saya mengatakan SambaCry?
Dengan mengingat jumlah sistem yang rentan dan kemudahan mengeksploitasi kerentanan ini, kelemahan Samba dapat dieksploitasi dalam skala besar dengan kemampuan yang dapat ditularkan.
Jaringan rumah dengan perangkat penyimpanan yang terpasang di jaringan (NAS) [yang juga menjalankan Linux] juga bisa rentan terhadap cacat ini.
Lihat juga Bug eksekusi-kode yang bisa ditebak telah bersembunyi di Samba selama 7 tahun. Tempel sekarang!
Cacat tujuh tahun, diindeks sebagai CVE-2017-7494, dapat diandalkan dieksploitasi dengan hanya satu baris kode untuk mengeksekusi kode berbahaya, selama beberapa kondisi terpenuhi. Persyaratan tersebut termasuk komputer yang rentan yang:
(a) membuat port berbagi-pakai file dan printer dapat dijangkau di Internet,
(b) mengonfigurasi file bersama untuk memiliki hak istimewa menulis, dan
(c) menggunakan jalur server yang diketahui atau dapat diduga untuk file-file itu.
Ketika kondisi tersebut terpenuhi, penyerang jarak jauh dapat mengunggah kode apa pun yang mereka pilih dan menyebabkan server menjalankannya, mungkin dengan hak akses root yang tidak dibatasi, tergantung pada platform yang rentan.
Mengingat kemudahan dan keandalan eksploitasi, lubang ini layak dicolokkan sesegera mungkin. Kemungkinan hanya masalah waktu sampai penyerang mulai aktif menargetkannya.
Juga Cepat 7 - Menambal CVE-2017-7494 di Samba: Ini Lingkaran Kehidupan
Dan lebih banyak SambaCry: Sekuel Linux ke WannaCry .
Fakta yang Perlu Diketahui
CVE-2017-7494 memiliki Skor CVSS 7,5 (CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.
Lingkup Ancaman
Permintaan shodan.io dari "port: 445! Os: windows" menunjukkan sekitar satu juta host non-Windows yang memiliki tcp / 445 terbuka ke Internet, lebih dari setengahnya ada di Uni Emirat Arab (36%) dan AS (16%). Sementara banyak dari ini mungkin menjalankan versi yang ditambal, memiliki perlindungan SELinux, atau sebaliknya tidak cocok dengan kriteria yang diperlukan untuk menjalankan exploit, permukaan serangan yang mungkin untuk kerentanan ini besar.
PS Perbaikan komit dalam proyek SAMBA github tampaknya komit 02a76d86db0cbe79fcaf1a500630e24d961fa149