Diese neue Samba-Schwachstelle wird bereits "Sambacry" genannt, während der Exploit selbst "Eternal Red Samba" erwähnt, in Twitter (sensationell) angekündigt als:
Samba-Bug, der auszulösende Metasploit-Einzeiler lautet einfach:simple.create_pipe("/path/to/target.so")
Potenziell betroffene Samba-Versionen sind Samba 3.5.0 bis 4.5.4/4.5.10/4.4.14.
Wenn Ihre Samba-Installation die unten beschriebenen Konfigurationen erfüllt, sollte das Update/Upgrade so schnell wie möglich durchgeführt werden, da es bereits Exploits, andere Exploits in Python- und Metasploit-Modulen gibt.
Interessanterweise gibt es bereits Add-Ons zu einem bekannten Honeypot aus dem Honeynet-Projekt, Dionaea, sowohl zu WannaCry- als auch zu SambaCry-Plug-Ins.
Samba Cry scheint bereits (missbraucht) zu werden, um in Zukunft weitere Krypto-Miner „EternalMiner“ zu installieren oder sich als Malware-Dropper zu verdoppeln.
Honeypots, die vom Forscherteam von Kaspersky Lab eingerichtet wurden, haben eine Malware-Kampagne erfasst, die die SambaCry-Schwachstelle ausnutzt, um Linux-Computer mit Kryptowährungs-Mining-Software zu infizieren. Ein anderer Sicherheitsforscher, Omri Ben Bassat, entdeckte unabhängig dieselbe Kampagne und nannte sie „EternalMiner“.
Die empfohlene Problemumgehung für Systeme mit installiertem Samba (die auch in der CVE-Mitteilung enthalten ist) vor der Aktualisierung besteht darin, 08 hinzuzufügen :
nt pipe support = no
(und Neustart des Samba-Dienstes)
Dies soll eine Einstellung deaktivieren, die die Möglichkeit ein-/ausschaltet, anonyme Verbindungen zum benannten Pipes-Dienst von Windows IPC herzustellen. Ab 11 :
Diese globale Option wird von Entwicklern verwendet, um WindowsNT/2000/XP-Clients zu erlauben oder zu verbieten, Verbindungen zu NT-spezifischen SMBIPC$-Pipes herzustellen. Als Benutzer sollten Sie die Standardeinstellung nie überschreiben müssen.
Aus unserer internen Erfahrung scheint es jedoch, dass das Update nicht mit älteren Versionen kompatibel ist? Windows-Versionen (zumindest einige? Windows 7-Clients scheinen nicht mit dem 23 zu funktionieren ), und daher kann der Behebungsweg in extremen Fällen über die Installation oder sogar Kompilierung von Samba gehen.
Genauer gesagt deaktiviert dieser Fix die Liste der Freigaben von Windows-Clients, und wenn sie angewendet werden, müssen sie den vollständigen Pfad der Freigabe manuell angeben, um sie verwenden zu können.
Eine andere bekannte Problemumgehung besteht darin, sicherzustellen, dass Samba-Freigaben mit 30 gemountet werden Möglichkeit. Dies verhindert die Ausführung von Binärdateien, die sich auf dem gemounteten Dateisystem befinden.
Der offizielle Sicherheits-Quellcode-Patch ist hier von der Sicherheitsseite von samba.org.
Debian hat bereits gestern (24/5) ein Update aus der Tür geschoben, und den dazugehörigen Sicherheitshinweis DSA-3860-1 Samba
Um zu überprüfen, ob die Schwachstelle in Centos/RHEL/Fedora und Derivaten behoben wurde, gehen Sie wie folgt vor:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Es gibt jetzt einen 40 Erkennungsskript:57 zum Erkennen von Samba-Versionen oder ein viel besseres 65 Skript, das prüft, ob der Dienst unter http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve-2017-7494.nse angreifbar ist, kopieren Sie es nach 70 und aktualisieren Sie dann 84 database , oder führen Sie sie wie folgt aus:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Über langfristige Maßnahmen zum Schutz des SAMBA-Dienstes:Das SMB-Protokoll sollte dem Internet niemals direkt angeboten werden.
Es versteht sich auch von selbst, dass SMB schon immer ein verworrenes Protokoll war und dass diese Art von Diensten durch Firewalls geschützt und auf die internen Netzwerke beschränkt werden sollten [denen sie bereitgestellt werden].
Wenn ein Fernzugriff erforderlich ist, entweder zu Hause oder speziell zu Unternehmensnetzwerken, sollten diese Zugriffe besser über die VPN-Technologie erfolgen.
Wie üblich zahlt sich auch hier das Unix-Prinzip aus, nur die minimal benötigten Dienste zu installieren und zu aktivieren.
Entnommen aus dem Exploit selbst:
Eternal Red Samba Exploit – CVE-2017-7494.
Veranlasst den anfälligen Samba-Server, eine gemeinsam genutzte Bibliothek im Root-Kontext zu laden.
Anmeldeinformationen sind nicht erforderlich, wenn der Server über ein Gastkonto verfügt.
Für Remote-Exploits müssen Sie Schreibberechtigungen für mindestens eine Freigabe haben.
Eternal Red scannt den Samba-Server nach Freigaben, auf die er schreiben kann. Es ermittelt auch den vollständigen Pfad der entfernten Freigabe.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
Es ist auch bekannt, dass Systeme mit aktiviertem SELinux nicht für den Exploit anfällig sind.
Siehe 7 Jahre alter Samba-Fehler ermöglicht Hackern den Fernzugriff auf Tausende von Linux-PCs
Laut der Computersuchmaschine Shodan haben mehr als 485.000 Samba-fähige Computer Port 445 im Internet offengelegt, und laut Forschern von Rapid7 schienen mehr als 104.000 im Internet exponierte Endpunkte verwundbare Versionen von Samba auszuführen, von denen 92.000 nicht unterstützte Versionen ausführen von Samba.
Da Samba das auf Linux- und UNIX-Systemen implementierte SMB-Protokoll ist, sagen einige Experten, dass es sich um die „Linux-Version von EternalBlue“ handelt, die von der WannaCry-Ransomware verwendet wird.
...oder sollte ich SambaCry sagen?
In Anbetracht der Anzahl verwundbarer Systeme und der einfachen Ausnutzung dieser Schwachstelle könnte der Samba-Fehler in großem Umfang mit Wurmfähigkeiten ausgenutzt werden.
Heimnetzwerke mit NAS-Geräten (Network-Attached Storage) [auf denen auch Linux läuft] könnten ebenfalls anfällig für diesen Fehler sein.
Siehe auch Seit 7 Jahren lauert in Samba ein wurmbarer Code-Execution-Bug. Jetzt patchen!
Der sieben Jahre alte Fehler, der als CVE-2017-7494 indiziert ist, kann mit nur einer Codezeile zuverlässig ausgenutzt werden, um bösartigen Code auszuführen, sofern einige Bedingungen erfüllt sind. Zu diesen Anforderungen gehören anfällige Computer, die:
(a) Datei- und Druckerfreigabeport 445 im Internet erreichbar machen,
(b) gemeinsam genutzte Dateien so konfigurieren, dass sie Schreibrechte haben, und
(c) bekannte oder erratene Serverpfade für diese Dateien verwenden.
Wenn diese Bedingungen erfüllt sind, können entfernte Angreifer beliebigen Code ihrer Wahl hochladen und den Server veranlassen, ihn auszuführen, möglicherweise mit uneingeschränkten Root-Rechten, je nach anfälliger Plattform.
Angesichts der Leichtigkeit und Zuverlässigkeit von Exploits lohnt es sich, diese Lücke so schnell wie möglich zu schließen. Es ist wahrscheinlich nur eine Frage der Zeit, bis Angreifer aktiv darauf abzielen.
Auch Rapid 7 – Patching CVE-2017-7494 in Samba:It’s the Circle of Life
Und mehr SambaCry:Die Linux-Fortsetzung von WannaCry.
Wissenswerte Fakten
CVE-2017-7494 hat einen CVSS-Score von 7,5 (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)3.
Bedrohungsbereich
Eine shodan.io-Abfrage von „port:445 !os:windows“ zeigt ungefähr eine Million Nicht-Windows-Hosts, die TCP/445 für das Internet geöffnet haben, mehr als die Hälfte davon in den Vereinigten Arabischen Emiraten (36 %) und den USA . (16 %). Während viele davon gepatchte Versionen ausführen, über SELinux-Schutz verfügen oder anderweitig nicht die erforderlichen Kriterien zum Ausführen des Exploits erfüllen, ist die mögliche Angriffsfläche für diese Schwachstelle groß.
P.S. Der Commit-Fix im SAMBA-Github-Projekt scheint Commit 02a76d86db0cbe79fcaf1a500630e24d961fa149
zu seinDie meisten von uns, die Samba-Server da draußen betreiben, betreiben sie wahrscheinlich innerhalb von LANs, hinter Firewalls, und legen ihre Ports nicht direkt der Außenwelt offen.
Es wäre eine schreckliche Praxis, wenn Sie dies tun würden, und eine unentschuldbare, wenn es einfache, effektive und kostenlose (wie in Bier und wie in Rede) VPN-Lösungen wie OpenVPN gibt. SMB wurde nicht im Hinblick auf offenes Internet entwickelt (zum Teufel, TCP/IP kam sogar als nachträglicher Einfall in dieses Protokoll) und sollte als solches behandelt werden. Ein zusätzlicher Vorschlag ist das Ausführen von Firewall-Regeln auf dem eigentlichen File-Sharing-Host, die nur lokale (und eventuell VPN-) Netzwerkadressen auf allen SMB-Ports (96 , 109 , 116 und 129 ).
Wenn Ihr Anwendungsfall es zulässt, sollten Sie außerdem in Betracht ziehen, Samba unprivilegiert auszuführen (wie zum Beispiel 136 Benutzer, der kein Alias von 147 ist ). Ich verstehe, dass es nicht so einfach ist, Einschränkungen von NT-ACLs mit POSIX-ACLs mit diesem Setup zu verbinden, aber wenn es in Ihrem speziellen Setup möglich ist, ist es der richtige Weg.
Schließlich ist es auch bei einem solchen "Lockdown" immer noch ratsam, einen Patch anzuwenden, wenn Sie können (weil es NAS-Boxen gibt, bei denen dies möglicherweise nicht machbar ist) und zu testen, ob Ihr bestimmter Anwendungsfall mit 152160 setzen .