Linuxシステム上の「WannaCry」:どうやって自分を守るのですか?


73

rapid7の記事によると Linuxシステムでのリモートコード実行を許可する脆弱なSambaバージョンがいくつかあります。

一方でWannaCryの ransomwormは、Windowsシステムに影響を与え、容易に識別し、明確な修復手順で、Sambaの脆弱性は、LinuxおよびUnixシステムに影響を与えますし、適切な是正を取得するか、展開に重要な技術的障害を提示することができます。

CVE-2017-7494

3.5.0以降のSambaのすべてのバージョンは、リモートコード実行の脆弱性に対して脆弱であり、悪意のあるクライアントが共有ライブラリを書き込み可能な共有にアップロードし、サーバーにロードして実行させることができます。

可能な攻撃シナリオ:

2つの要素から始めます。

  • Sambaの脆弱性、一部のLinuxディストリビューションではまだ修正されていません。
  • 一部のLinuxカーネルバージョン(たとえば、4.8.0-41-generic UbuntuカーネルのCVE-2017-7308)には、パッチが適用されていないローカル権限昇格の脆弱性があります。

攻撃者はLinuxマシンにアクセスし、ローカルエクスプロイトの脆弱性を使用して特権を昇格させ、ルートアクセスを取得し、このモックアップLinux用WannaCryランサムウェアと同様に、将来の可能性のあるランサムウェアをインストールできます 。

更新

最新の記事「警告!ハッカーは「SambaCryの欠陥」を使用してLinuxシステムをハックし始めました」は、Sambacryの欠陥を使用してLinuxマシンに感染する方法を示しています。

Kaspersky Labの研究者チームによって設定されたハニーポットは、SambaCryの脆弱性を悪用してマルウェア暗号化マイニングソフトウェアをLinuxコンピューターに感染させるマルウェアキャンペーンを捕捉したため、予測は非常に正確であることが判明しました。

別のセキュリティ研究者であるOmri Ben Bassatは、同じキャンペーンを独自に発見し、「EternalMiner」と名付けました。

研究者によると、Sambaの欠陥が公表されてから1週間後に、未知のハッカーグループがLinux PCのハイジャックを開始し、「Monero」デジタル通貨をマイニングする暗号通貨マイニングソフトウェア「CPUminer」のアップグレードバージョンをインストールしました。

SambaCryの脆弱性を使用して脆弱なマシンを侵害した後、攻撃者は標的のシステムで2つのペイロードを実行します。

INAebsGB.so —攻撃者へのリモートアクセスを提供する逆シェル。

cblRWuoCc.so —暗号通貨マイニングユーティリティを含むバックドア– CPUminer。

2017年7月18日に投稿されたTrendLabレポート:LinuxユーザーはSambaCryを悪用して新しい脅威として更新することを求めている

攻撃を受けるのを防ぐためにLinuxシステムを保護するにはどうすればよいですか?


22
WannaCryはWindowsマルウェアです。UNIXウイルスは、同じプロトコルのこの無関係な実装でこの無関係な問題を悪用して記述できますが、これはWindowsマルウェアとは関係ありません。WannaCry for Linuxに提供するこのリンクはデマです。ソースをざっと見てみると、実際のプログラムは何もないGUIを使用したグラフィカルな「make your own gui」ソフトウェアの出力のように見えます。
誰も

2
Google翻訳/カメラモードでiPhoneを使用している@ GAD3Rは、中国語のコメントは確かにソースが完全ではないと言っています。まだ存在しないランサムウェアではなく、GVEのリンクを削除して、CVEに関する質問をやり直すことをお勧めします。あなたはまだそれが明示的にすること、そのアイデアを回避したい場合はgithubのリンクはそのアイデアのアップだけでモックがある
ルイF・リベイロ

8
@ GAD3Rええ、誰かが高い権限でリモートでシステムにアクセスできる場合、ネイティブLinuxユーティリティを使用してハードドライブを暗号化し、デマでそのようなQT GUIを書くだけで、それほど苦痛はありません。WannaCryの実際の機能(拡散)はすべて、Windowsのエクスプロイトに依存しています。「WannaCry」に言及することは、クリックベイトであり、純粋でシンプルです。
誰も

6
@Nobody公平を期すために、私はOPが誠実であり、それが単なるGUIであることを認識していないと信じています。私たちはコメントを読む中国人ではありません。彼自身が言っているように、彼はソースコードを読むことにあまり詳しくありません。2つの脆弱性の類似点をIMOし、タイミングを与えることも適切です。それにいくつかのたるみを与えます。それにもかかわらず、CVE自体の影響は心配です。
ルイFリベイロ

3
IMO質問を終了することはお勧めしません。誰かが別のアイデアを持っている場合は、先に進みます。まだ作成されていないランサムウェアはもちろんのこと、質問テキストを作り直しました。私が言及した回避策は、少なくとも私たちが持っているレガシーシステムで有用でした。
ルイFリベイロ

回答:


102

このSambaの新しい脆弱性はすでに「Sambacry」と呼ばれていますが、エクスプロイト自体は、Twitterで(感覚的に)発表された「Eternal Red Samba」に言及しています。

Sambaのバグ、トリガーするmetasploitのワンライナーは単純です:simple.create_pipe( "/ path / to / target.so")

影響を受ける可能性のあるSambaバージョンは、Samba 3.5.0から4.5.4 / 4.5.10 / 4.4.14です。

ご使用のSambaインストールが以下に説明する構成を満たしている場合、既にエクスプロイトPythonの他のエクスプロイト、および メタスプロイモジュールが存在するため、できるだけ早く修正/アップグレードを行う必要があります。

より興味深いことに、すでにから知っているのハニーポットへのアドオンがあるハニーネットプロジェクト、dionaea WannaCryとの両方SambaCryプラグイン

Sambaの泣き声は、すでに暗号通貨マイナー「EternalMiner」をインストールするために(ab)使用されているようです。

Kaspersky Labの研究者チームによって設立されたハニーポットは、SambaCryの脆弱性を悪用して、Linuxコンピューターに暗号通貨マイニングソフトウェアを感染させるマルウェアキャンペーンを捕捉しました。別のセキュリティ研究者であるOmri Ben Bassatは、独自に同じキャンペーンを発見し、「EternalMiner」と名付けました。

Sambaがインストールされているシステム(CVE通知にもあります)を更新する前に推奨される回避策は、以下に追加することsmb.confです:

nt pipe support = no

(およびSambaサービスの再起動)

これは、Windows IPC名前付きパイプサービスへの匿名接続を行う機能をオンまたはオフにする設定を無効にすることになっています。からman samba

このグローバルオプションは、Windows NT / 2000 / XPクライアントがNT固有のSMB IPC $パイプに接続する機能を許可または禁止するために開発者によって使用されます。ユーザーとして、デフォルトをオーバーライドする必要はありません。

しかし、社内の経験から、修正は古いものと互換性がないようです?Windowsバージョン(少なくとも一部?Windows 7クライアントはで動作しないようですnt pipe support = no)、そのため、極端な場合には修復ルートがSambaのインストールやコンパイルにまで進む可能性があります。

より具体的には、この修正により、Windowsクライアントからの共有リストが無効になり、適用する場合、共有を使用するには共有のフルパスを手動で指定する必要があります。

他の既知の回避策は、Samba共有がnoexecオプションでマウントされていることを確認することです。これにより、マウントされたファイルシステムにあるバイナリの実行が防止されます。

公式のセキュリティソースコードパッチは、ここからsamba.orgセキュリティページ

Debianはすでに昨日(24/5)更新を公開し、対応するセキュリティ通知DSA-3860-1 sambaをプッシュしました

Centos / RHEL / Fedoraおよび派生物で脆弱性が修正されているかどうかを確認するには、次のようにします。

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

今がありますnmap:検出スクリプトsamba-vuln-cve-2017-7494.nse Sambaのバージョンを検出するための、またはより良いnmapサービスがで脆弱であるかどうかを確認するスクリプトhttp://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cveは、 -2017-7494.nse、それをコピーしてからデータベースを/usr/share/nmap/scripts更新nmapするか、次のように実行します。

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

SAMBAサービスを保護するための長期的な対策について:SMBプロトコルは、インターネット全体に直接提供されるべきではありません。

また、SMBは常に複雑なプロトコルであり、これらの種類のサービスはファイアウォールで保護され、[サービス対象の]内部ネットワークに制限されるべきであることは言うまでもありません。

自宅または企業ネットワークへのリモートアクセスが必要な場合は、VPNテクノロジを使用してこれらのアクセスをより適切に行う必要があります。

いつものように、この状況では、必要な最小限のサービスのみをインストールしてアクティブ化するというUnixの原則は功を奏します。

エクスプロイト自体から取得:

Eternal Red Samba Exploit-CVE-2017-7494
脆弱なSambaサーバーがルートコンテキストで共有ライブラリをロードするようにします。
サーバーにゲストアカウントがある場合、資格情報は必要ありません。
リモートから悪用するには、少なくとも1つの共有に対する書き込み権限が必要です。
Eternal Redは、書き込み可能な共有についてSambaサーバーをスキャンします。また、リモート共有のフルパスも決定します。

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

また、SELinuxが有効になっているシステムはこの脆弱性の影響を受けないことが知られています。

参照してください。7歳のSambaの欠陥はハッカーがリモートのLinux PCの数千にアクセスすることができます

Shodanコンピューター検索エンジンによると、485,000以上のSamba対応コンピューターがインターネット上のポート445を公開し、Rapid7の研究者によると、104,000以上のインターネット公開エンドポイントがSambaの脆弱なバージョンを実行しているようです。サポートされていないバージョンのSambaを実行します。

SambaはLinuxおよびUNIXシステムに実装されているSMBプロトコルであるため、一部の専門家は、それがWannaCryランサムウェアによって使用される「EternalBlueのLinuxバージョン」であると言っています。

...または、SambaCryと言うべきですか?

脆弱なシステムの数とこの脆弱性の悪用の容易さを念頭に置いて、Sambaの欠陥はワーム機能を使用して大規模に悪用される可能性があります。

ネットワーク接続ストレージ(NAS)デバイス(Linuxも実行)を備えたホームネットワークも、この欠陥に対して脆弱です。

参照ワーム可能なコード実行バグが7年間Sambaに潜んでいます。今すぐパッチ!

CVE-2017-7494としてインデックス付けされた7年前の欠陥は、いくつかの条件が満たされている限り、1行のコードで確実に悪用されて悪意のあるコードを実行できます。これらの要件には、以下の脆弱なコンピューターが含まれます。

(a)ファイル共有およびプリンター共有ポート445をインターネット上でアクセス可能にし、
(b)共有ファイルを書き込み権限を持つように構成し、
(c)これらのファイルに既知または推測可能なサーバーパスを使用します。

これらの条件が満たされると、リモートの攻撃者は選択した任意のコードをアップロードし、脆弱なプラットフォームに応じて、おそらく制限のないルート権限でサーバーに実行させることができます。

エクスプロイトの容易さと信頼性を考えると、この穴はできるだけ早く塞ぐ価値があります。攻撃者がそれを積極的に標的にし始めるのは、おそらく時間の問題です。

またRapid 7-SambaでCVE-2017-7494にパッチを当てる:人生の輪

さらにSambaCry:WannaCryのLinux続編

知っておくべき事実

CVE-2017-7494のCVSSスコアは7.5(CVSS:3.0 / AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H)3です。

脅威の範囲

「port:445!os:windows」のshodan.ioクエリは、インターネットに対してtcp / 445を開いている約100万の非Windowsホストを示し、その半分以上がアラブ首長国連邦(36%)に存在し、米国(16%)。これらの多くはパッチが適用されたバージョンを実行している場合や、SELinuxを保護している場合、またはエクスプロイトを実行するために必要な基準に一致しない場合がありますが、この脆弱性の攻撃対象となる可能性は大きくなります。

PS SAMBA githubプロジェクトのコミット修正は、コミット02a76d86db0cbe79fcaf1a500630e24d961fa149のようです。


2
どういたしまして。私は私の時間帯に、私は午前9時の周りに昨日Debianセキュリティ通知に作用することを追加します
ルイFリベイロは、

6
ただし、Windowsとは異なり、SambaはほとんどのLinuxディストリビューションでデフォルトでオンになっていませんか?
ラファエル

1
@raphael確かに、インストールされたコアDVDの完全なセットで見つけたすべてのサーバーに対して1ペニーを受け取った場合、そのアイデアに対処するために答えを少し編集しました。
ルイFリベイロ

9
私が知る限り、nmapスクリプトはあなたが脆弱かどうかではなく、sambaのバージョンをチェックするだけです。AFAICT、この脆弱性を悪用するには、サーバーにファイルをアップロードできる必要があります。したがって、この脆弱性はEternalblue Windowsほど深刻ではありません。認証なしでインターネット経由でのファイルのアップロードを許可する場合、sambaが脆弱かどうかに問題があります。
ステファンシャゼラス

1
@StéphaneChazelasありがとう、まだスクリプトをチェックする時間がありませんでした
ルイFリベイロ

21

Sambaサーバーを実行している私たちのほとんどは、おそらくLAN内、ファイアウォールの背後で実行しており、ポートを外部に直接公開していません。

OpenVPNのようなシンプルで、効果的で、無料の(ビールやスピーチのような)VPNソリューションがある場合、それは許されないものです。SMBはオープンインターネットを念頭に置いて設計されたものではありません(たとえば、TCP / IPはそのプロトコルでは後から付け加えられたものでした)。追加の提案は、すべてのSMBポート上でのみローカル(および最終的にはVPN)のネットワークをホワイトリスト住所が実際のファイル共有ホスト上のファイアウォールのルールを実行している(139/TCP445/TCP137/UDPおよび138/UDP)。

また、ユースケースで許可されている場合は、Sambaを非特権で実行することを検討する必要があります(たとえば、のsambaエイリアスではないユーザーとしてroot)。NT ACLの制限とPOSIX ACLをこのセットアップで結びつけることはそれほど簡単ではないことを理解していますが、特定のセットアップでそうすることが可能であるなら、それは進むべき道です。

最後に、このような「ロックダウン」、それはあなたができる場合(NASボックスがそこにあるので、それはなんとかではないかもしれないところ)パッチを適用することが賢明だし、あなたの特定のユースケースがで動作するかどうかをテストすることとnt pipe supportするように設定no


4
「イントラネット上でのみアクセス可能」は、おそらくWannaCryが広まった企業の管理者の一部が考えたことです。
カールステンS
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.