このSambaの新しい脆弱性はすでに「Sambacry」と呼ばれていますが、エクスプロイト自体は、Twitterで(感覚的に)発表された「Eternal Red Samba」に言及しています。
Sambaのバグ、トリガーするmetasploitのワンライナーは単純です:simple.create_pipe( "/ path / to / target.so")
影響を受ける可能性のあるSambaバージョンは、Samba 3.5.0から4.5.4 / 4.5.10 / 4.4.14です。
ご使用のSambaインストールが以下に説明する構成を満たしている場合、既にエクスプロイト、Pythonの他のエクスプロイト、および
メタスプロイモジュールが存在するため、できるだけ早く修正/アップグレードを行う必要があります。
より興味深いことに、すでにから知っているのハニーポットへのアドオンがあるハニーネットプロジェクト、dionaea WannaCryとの両方SambaCryプラグイン。
Sambaの泣き声は、すでに暗号通貨マイナー「EternalMiner」をインストールするために(ab)使用されているようです。
Kaspersky Labの研究者チームによって設立されたハニーポットは、SambaCryの脆弱性を悪用して、Linuxコンピューターに暗号通貨マイニングソフトウェアを感染させるマルウェアキャンペーンを捕捉しました。別のセキュリティ研究者であるOmri Ben Bassatは、独自に同じキャンペーンを発見し、「EternalMiner」と名付けました。
Sambaがインストールされているシステム(CVE通知にもあります)を更新する前に推奨される回避策は、以下に追加することsmb.conf
です:
nt pipe support = no
(およびSambaサービスの再起動)
これは、Windows IPC名前付きパイプサービスへの匿名接続を行う機能をオンまたはオフにする設定を無効にすることになっています。からman samba
:
このグローバルオプションは、Windows NT / 2000 / XPクライアントがNT固有のSMB IPC $パイプに接続する機能を許可または禁止するために開発者によって使用されます。ユーザーとして、デフォルトをオーバーライドする必要はありません。
しかし、社内の経験から、修正は古いものと互換性がないようです?Windowsバージョン(少なくとも一部?Windows 7クライアントはで動作しないようですnt pipe support = no
)、そのため、極端な場合には修復ルートがSambaのインストールやコンパイルにまで進む可能性があります。
より具体的には、この修正により、Windowsクライアントからの共有リストが無効になり、適用する場合、共有を使用するには共有のフルパスを手動で指定する必要があります。
他の既知の回避策は、Samba共有がnoexec
オプションでマウントされていることを確認することです。これにより、マウントされたファイルシステムにあるバイナリの実行が防止されます。
公式のセキュリティソースコードパッチは、ここからsamba.orgセキュリティページ。
Debianはすでに昨日(24/5)更新を公開し、対応するセキュリティ通知DSA-3860-1 sambaをプッシュしました
Centos / RHEL / Fedoraおよび派生物で脆弱性が修正されているかどうかを確認するには、次のようにします。
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
今がありますnmap
:検出スクリプトsamba-vuln-cve-2017-7494.nse
Sambaのバージョンを検出するための、またはより良いnmap
サービスがで脆弱であるかどうかを確認するスクリプトhttp://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cveは、 -2017-7494.nse、それをコピーしてからデータベースを/usr/share/nmap/scripts
更新nmap
するか、次のように実行します。
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
SAMBAサービスを保護するための長期的な対策について:SMBプロトコルは、インターネット全体に直接提供されるべきではありません。
また、SMBは常に複雑なプロトコルであり、これらの種類のサービスはファイアウォールで保護され、[サービス対象の]内部ネットワークに制限されるべきであることは言うまでもありません。
自宅または企業ネットワークへのリモートアクセスが必要な場合は、VPNテクノロジを使用してこれらのアクセスをより適切に行う必要があります。
いつものように、この状況では、必要な最小限のサービスのみをインストールしてアクティブ化するというUnixの原則は功を奏します。
エクスプロイト自体から取得:
Eternal Red Samba Exploit-CVE-2017-7494
脆弱なSambaサーバーがルートコンテキストで共有ライブラリをロードするようにします。
サーバーにゲストアカウントがある場合、資格情報は必要ありません。
リモートから悪用するには、少なくとも1つの共有に対する書き込み権限が必要です。
Eternal Redは、書き込み可能な共有についてSambaサーバーをスキャンします。また、リモート共有のフルパスも決定します。
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
また、SELinuxが有効になっているシステムはこの脆弱性の影響を受けないことが知られています。
参照してください。7歳のSambaの欠陥はハッカーがリモートのLinux PCの数千にアクセスすることができます
Shodanコンピューター検索エンジンによると、485,000以上のSamba対応コンピューターがインターネット上のポート445を公開し、Rapid7の研究者によると、104,000以上のインターネット公開エンドポイントがSambaの脆弱なバージョンを実行しているようです。サポートされていないバージョンのSambaを実行します。
SambaはLinuxおよびUNIXシステムに実装されているSMBプロトコルであるため、一部の専門家は、それがWannaCryランサムウェアによって使用される「EternalBlueのLinuxバージョン」であると言っています。
...または、SambaCryと言うべきですか?
脆弱なシステムの数とこの脆弱性の悪用の容易さを念頭に置いて、Sambaの欠陥はワーム機能を使用して大規模に悪用される可能性があります。
ネットワーク接続ストレージ(NAS)デバイス(Linuxも実行)を備えたホームネットワークも、この欠陥に対して脆弱です。
参照ワーム可能なコード実行バグが7年間Sambaに潜んでいます。今すぐパッチ!
CVE-2017-7494としてインデックス付けされた7年前の欠陥は、いくつかの条件が満たされている限り、1行のコードで確実に悪用されて悪意のあるコードを実行できます。これらの要件には、以下の脆弱なコンピューターが含まれます。
(a)ファイル共有およびプリンター共有ポート445をインターネット上でアクセス可能にし、
(b)共有ファイルを書き込み権限を持つように構成し、
(c)これらのファイルに既知または推測可能なサーバーパスを使用します。
これらの条件が満たされると、リモートの攻撃者は選択した任意のコードをアップロードし、脆弱なプラットフォームに応じて、おそらく制限のないルート権限でサーバーに実行させることができます。
エクスプロイトの容易さと信頼性を考えると、この穴はできるだけ早く塞ぐ価値があります。攻撃者がそれを積極的に標的にし始めるのは、おそらく時間の問題です。
またRapid 7-SambaでCVE-2017-7494にパッチを当てる:人生の輪
さらにSambaCry:WannaCryのLinux続編。
知っておくべき事実
CVE-2017-7494のCVSSスコアは7.5(CVSS:3.0 / AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H)3です。
脅威の範囲
「port:445!os:windows」のshodan.ioクエリは、インターネットに対してtcp / 445を開いている約100万の非Windowsホストを示し、その半分以上がアラブ首長国連邦(36%)に存在し、米国(16%)。これらの多くはパッチが適用されたバージョンを実行している場合や、SELinuxを保護している場合、またはエクスプロイトを実行するために必要な基準に一致しない場合がありますが、この脆弱性の攻撃対象となる可能性は大きくなります。
PS SAMBA githubプロジェクトのコミット修正は、コミット02a76d86db0cbe79fcaf1a500630e24d961fa149のようです。