Esta nueva vulnerabilidad de Samba ya se llama "Sambacry", mientras que el exploit mismo menciona "Eternal Red Samba", anunciada en Twitter (sensacionalmente) como:
Error de Samba, el metaploit one-liner para disparar es simplemente: simple.create_pipe ("/ path / to / target.so")
Las versiones de Samba potencialmente afectadas son de Samba 3.5.0 a 4.5.4 / 4.5.10 / 4.4.14.
Si su instalación de Samba cumple con las configuraciones descritas a continuación, la reparación / actualización debe hacerse lo antes posible, ya que ya hay vulnerabilidades , otras vulnerabilidades en los módulos Python y
Metasploit .
Más interesante es que ya hay complementos a un honeypot conocimientos de la red trampa proyecto, Dionaea tanto a WannaCry y SambaCry plug-ins .
Samba cry parece que ya se está utilizando (ab) para instalar más cripto-mineros "EternalMiner" o doblar como un gotero de malware en el futuro .
Los honeypots establecidos por el equipo de investigadores de Kaspersky Lab han capturado una campaña de malware que está explotando la vulnerabilidad SambaCry para infectar computadoras Linux con software de minería de criptomonedas. Otro investigador de seguridad, Omri Ben Bassat, descubrió independientemente la misma campaña y la llamó "EternalMiner".
La solución recomendada para sistemas con Samba instalado (que también está presente en el aviso de CVE) antes de actualizarlo, se agrega a smb.conf:
nt pipe support = no
(y reiniciando el servicio Samba)
Se supone que esto deshabilita una configuración que activa / desactiva la capacidad de realizar conexiones anónimas al servicio de canalizaciones con nombre IPC de Windows. De man samba:
Los desarrolladores utilizan esta opción global para permitir o no permitir a los clientes de Windows NT / 2000 / XP la capacidad de realizar conexiones a tuberías SMC IPC $ específicas de NT. Como usuario, nunca debería necesitar anular el valor predeterminado.
Sin embargo, según nuestra experiencia interna, ¿parece que la solución no es compatible con las anteriores? Versiones de Windows (al menos algunos clientes de Windows 7 parecen no funcionar con el nt pipe support = no), y como tal, la ruta de corrección puede ir en casos extremos para instalar o incluso compilar Samba.
Más específicamente, esta solución deshabilita la lista de recursos compartidos de los clientes de Windows y, si se aplica, tienen que especificar manualmente la ruta completa del recurso compartido para poder usarlo.
Otra solución alternativa conocida es asegurarse de que los recursos compartidos de Samba estén montados con la noexecopción. Esto evitará la ejecución de archivos binarios que residen en el sistema de archivos montado.
El parche oficial de código fuente de seguridad está aquí desde la página de seguridad de samba.org .
Debian ya empujó ayer (24/5) una actualización por la puerta, y el aviso de seguridad correspondiente samba DSA-3860-1
Para verificar si la vulnerabilidad se corrige en Centos / RHEL / Fedora y derivados, haga lo siguiente:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Ahora hay un nmapscript de detección: samba-vuln-cve-2017-7494.nse para detectar versiones de Samba, o un nmapscript mucho mejor que verifica si el servicio es vulnerable en http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , cópielo /usr/share/nmap/scriptsy luego actualice la nmapbase de datos, o ejecútelo de la siguiente manera:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Acerca de las medidas a largo plazo para proteger el servicio SAMBA: El protocolo SMB nunca debe ofrecerse directamente a Internet en general.
Tampoco hace falta decir que SMB siempre ha sido un protocolo complicado, y que este tipo de servicios debe ser controlado y restringido a las redes internas [a las que se les presta servicio].
Cuando se necesita acceso remoto, ya sea al hogar o especialmente a las redes corporativas, esos accesos deberían hacerse mejor usando la tecnología VPN.
Como de costumbre, en estas situaciones el principio de Unix de solo instalar y activar los servicios mínimos requeridos vale la pena.
Tomado del exploit mismo:
Eternal Red Samba Exploit - CVE-2017-7494.
Hace que el servidor Samba vulnerable cargue una biblioteca compartida en el contexto raíz.
No se requieren credenciales si el servidor tiene una cuenta de invitado.
Para la explotación remota, debe tener permisos de escritura para al menos un recurso compartido.
Eternal Red escaneará el servidor Samba en busca de recursos compartidos en los que pueda escribir. También determinará la ruta completa del recurso compartido remoto.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
También se sabe que los sistemas con SELinux habilitado no son vulnerables al exploit.
Ver 7 años de antigüedad Defecto Samba permite Miles hackers acceso de forma remota a los ordenadores Linux
Según el motor de búsqueda de computadoras Shodan, más de 485,000 computadoras habilitadas para Samba expusieron el puerto 445 en Internet, y según los investigadores de Rapid7, más de 104,000 puntos finales expuestos a Internet parecían ejecutar versiones vulnerables de Samba, de las cuales 92,000 son ejecutando versiones no compatibles de Samba.
Dado que Samba es el protocolo SMB implementado en sistemas Linux y UNIX, algunos expertos dicen que es la "versión Linux de EternalBlue", utilizada por el ransomware WannaCry.
... o debería decir SambaCry?
Teniendo en cuenta la cantidad de sistemas vulnerables y la facilidad para explotar esta vulnerabilidad, la falla de Samba podría explotarse a gran escala con capacidades aptas para el trabajo.
Las redes domésticas con dispositivos de almacenamiento conectado a la red (NAS) [que también ejecutan Linux] también podrían ser vulnerables a este defecto.
Ver también Un error de ejecución de código que se puede enviar acecha en Samba durante 7 años. Parche ahora!
La falla de siete años, indexada como CVE-2017-7494, puede explotarse de manera confiable con solo una línea de código para ejecutar código malicioso, siempre que se cumplan algunas condiciones. Esos requisitos incluyen computadoras vulnerables que:
(a) haga que el puerto 445 para compartir archivos e impresoras sea accesible en Internet,
(b) configure los archivos compartidos para que tengan privilegios de escritura y
(c) use rutas de servidor conocidas o adivinables para esos archivos.
Cuando se cumplen esas condiciones, los atacantes remotos pueden cargar cualquier código de su elección y hacer que el servidor lo ejecute, posiblemente con privilegios de root sin restricciones, dependiendo de la plataforma vulnerable.
Dada la facilidad y fiabilidad de los exploits, vale la pena tapar este agujero lo antes posible. Es probable que solo sea cuestión de tiempo hasta que los atacantes comiencen a atacarlo activamente.
También Rapid 7 - Parcheando CVE-2017-7494 en Samba: es el círculo de la vida
Y más SambaCry: la secuela de Linux para WannaCry .
Datos necesarios
CVE-2017-7494 tiene un puntaje CVSS de 7.5 (CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.
Alcance de la amenaza
Una consulta shodan.io de "port: 445! Os: windows" muestra aproximadamente un millón de hosts que no son de Windows que tienen tcp / 445 abiertos a Internet, más de la mitad de los cuales existen en los Emiratos Árabes Unidos (36%) y el Estados Unidos (16%). Si bien muchos de estos pueden estar ejecutando versiones parcheadas, tienen protecciones SELinux o no cumplen con los criterios necesarios para ejecutar el exploit, la posible superficie de ataque para esta vulnerabilidad es grande.
PS La corrección de confirmación en el proyecto github de SAMBA parece ser confirmación 02a76d86db0cbe79fcaf1a500630e24d961fa149