Diese neue Samba-Schwachstelle wird bereits "Sambacry" genannt, während der Exploit selbst "Eternal Red Samba" erwähnt, das in Twitter (sensationell) angekündigt wurde als:
Samba-Fehler, der auszulösende Metasploit-Einzeiler ist einfach: simple.create_pipe ("/ path / to / target.so")
Potenziell betroffene Samba-Versionen sind Samba 3.5.0 bis 4.5.4 / 4.5.10 / 4.4.14.
Wenn Ihre Samba-Installation den unten beschriebenen Konfigurationen entspricht, sollte das Fix / Upgrade so schnell wie möglich durchgeführt werden, da bereits Exploits vorhanden sind , andere Exploits in Python- und
Metasploit- Modulen.
Interessanterweise gibt es bereits Add-Ons für einen bekannten Honeypot aus dem Honeynet- Projekt, dionaea sowohl für WannaCry- als auch für SambaCry-Plug-Ins .
Samba cry wird anscheinend bereits (ab) verwendet, um weitere Crypto-Miner "EternalMiner" zu installieren oder sich in Zukunft als Malware-Dropper zu verdoppeln .
Von einem Forscherteam von Kaspersky Lab eingerichtete Honeypots haben eine Malware-Kampagne erfasst, die die SambaCry-Schwachstelle ausnutzt, um Linux-Computer mit Cryptocurrency-Mining-Software zu infizieren. Ein anderer Sicherheitsforscher, Omri Ben Bassat, entdeckte dieselbe Kampagne unabhängig und nannte sie "EternalMiner".
Die empfohlene Problemumgehung für Systeme, auf denen Samba installiert ist (die auch in der CVE-Mitteilung enthalten ist), bevor Sie es aktualisieren, fügt Folgendes hinzu smb.conf:
nt pipe support = no
(und Neustart des Samba-Dienstes)
Hiermit soll eine Einstellung deaktiviert werden, mit der die Möglichkeit zum Herstellen anonymer Verbindungen zum Windows IPC-Dienst für Named Pipes aktiviert / deaktiviert wird. Von man samba:
Diese globale Option wird von Entwicklern verwendet, um Windows NT / 2000 / XP-Clients das Herstellen von Verbindungen zu NT-spezifischen SMB-IPC $ -Pipes zu ermöglichen oder zu untersagen. Als Benutzer sollten Sie niemals die Standardeinstellung überschreiben müssen.
Aus unserer internen Erfahrung scheint es jedoch, dass das Update nicht mit älteren kompatibel ist? Windows-Versionen (zumindest einige Windows 7-Clients scheinen mit dem nicht zu funktionieren nt pipe support = no), und als solche kann die Korrekturroute in extremen Fällen in die Installation oder sogar das Kompilieren von Samba gehen.
Insbesondere wird durch dieses Update die Auflistung von Freigaben von Windows-Clients deaktiviert. Wenn dies angewendet wird, muss der vollständige Pfad der Freigabe manuell angegeben werden, um sie verwenden zu können.
Eine andere bekannte Problemumgehung besteht darin, sicherzustellen, dass Samba-Freigaben mit der noexecOption bereitgestellt werden. Dies verhindert die Ausführung von Binärdateien, die sich auf dem bereitgestellten Dateisystem befinden.
Der offizielle Sicherheits-Quellcode-Patch befindet sich hier auf der Sicherheitsseite von samba.org .
Debian hat gestern (24/5) bereits ein Update aus der Tür geschoben und den entsprechenden Sicherheitshinweis DSA-3860-1 Samba
Um zu überprüfen, ob die Sicherheitsanfälligkeit in Centos / RHEL / Fedora und Derivaten behoben ist, gehen Sie wie folgt vor:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Es gibt jetzt ein nmapErkennungsskript: samba-vuln-cve-2017-7494.nse zum Erkennen von Samba-Versionen oder ein viel besseres nmapSkript, das überprüft, ob der Dienst anfällig ist unter http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve Kopieren Sie die Datei in die Datei -2017-7494.nse , /usr/share/nmap/scriptsund aktualisieren Sie sie anschließend nmap, oder führen Sie sie wie folgt aus:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Über langfristige Maßnahmen zum Schutz des SAMBA-Dienstes: Das SMB-Protokoll sollte niemals direkt im Internet angeboten werden.
Es versteht sich auch von selbst, dass SMB seit jeher ein verschachteltes Protokoll ist und dass diese Art von Diensten durch eine Firewall geschützt und auf die internen Netzwerke beschränkt werden sollte [an die sie geliefert werden].
Wenn ein Remotezugriff zu Hause oder speziell zu Unternehmensnetzwerken erforderlich ist, sollten diese Zugriffe besser über die VPN-Technologie erfolgen.
In solchen Situationen zahlt sich wie üblich das Unix-Prinzip aus, nur die erforderlichen Mindestdienste zu installieren und zu aktivieren.
Entnommen aus dem Exploit selbst:
Ewige rote Samba-Ausbeutung - CVE-2017-7494.
Bewirkt, dass der anfällige Samba-Server eine gemeinsam genutzte Bibliothek im Stammkontext lädt.
Anmeldeinformationen sind nicht erforderlich, wenn der Server über ein Gastkonto verfügt.
Für den Remote-Exploit müssen Sie über Schreibberechtigungen für mindestens eine Freigabe verfügen.
Eternal Red durchsucht den Samba-Server nach Freigaben, auf die er schreiben kann. Es wird auch der vollständige Pfad der Remote-Freigabe ermittelt.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
Es ist auch bekannt, dass Systeme mit aktiviertem SELinux für den Exploit nicht anfällig sind.
Siehe 7-jähriger Samba-Fehler: Ermöglicht Hackern den Remotezugriff auf Tausende von Linux-PCs
Nach Angaben der Shodan-Computersuchmaschine haben mehr als 485.000 Samba-fähige Computer Port 445 im Internet verfügbar gemacht, und nach Angaben von Forschern von Rapid7 werden auf mehr als 104.000 internetexponierten Endpunkten anfällige Versionen von Samba ausgeführt, wovon 92.000 betroffen sind Ausführen nicht unterstützter Versionen von Samba.
Da Samba das SMB-Protokoll ist, das auf Linux- und UNIX-Systemen implementiert ist, sprechen einige Experten von der "Linux-Version von EternalBlue", die von der WannaCry-Ransomware verwendet wird.
... oder soll ich SambaCry sagen?
In Anbetracht der Anzahl an anfälligen Systemen und der einfachen Ausnutzung dieser Sicherheitsanfälligkeit könnte der Samba-Fehler in großem Umfang mit wormbaren Funktionen ausgenutzt werden.
Heimnetzwerke mit NAS-Geräten (Network-Attached Storage) [auf denen auch Linux ausgeführt wird] sind möglicherweise ebenfalls anfällig für diesen Fehler.
Siehe auch In Samba lauert seit 7 Jahren ein Wurm-Fehler bei der Codeausführung. Patch jetzt!
Der sieben Jahre alte Fehler, der als CVE-2017-7494 indiziert ist, kann mit nur einer Codezeile zuverlässig ausgenutzt werden, um bösartigen Code auszuführen, sofern einige Bedingungen erfüllt sind. Zu diesen Anforderungen gehören anfällige Computer, die:
(a) den Datei- und Druckerfreigabeport 445 im Internet zugänglich machen,
(b) gemeinsam genutzte Dateien mit Schreibrechten konfigurieren und
(c) bekannte oder erratbare Serverpfade für diese Dateien verwenden.
Wenn diese Bedingungen erfüllt sind, können entfernte Angreifer einen Code ihrer Wahl hochladen und den Server dazu veranlassen, ihn auszuführen, möglicherweise mit uneingeschränkten Root-Rechten, abhängig von der anfälligen Plattform.
Angesichts der Leichtigkeit und Zuverlässigkeit von Exploits lohnt es sich, dieses Loch so schnell wie möglich zu schließen. Es ist wahrscheinlich nur eine Frage der Zeit, bis Angreifer aktiv auf sie zielen.
Auch Rapid 7 - CVE-2017-7494 in Samba patchen: Es ist der Kreislauf des Lebens
Und noch mehr SambaCry: Die Linux-Fortsetzung von WannaCry .
Wissenswertes
CVE-2017-7494 hat einen CVSS-Wert von 7,5 (CVSS: 3,0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.
Bedrohungsumfang
Eine shodan.io-Abfrage von "port: 445! Os: windows" zeigt ungefähr eine Million Nicht-Windows-Hosts, auf denen TCP / 445 für das Internet geöffnet ist, von denen mehr als die Hälfte in den Vereinigten Arabischen Emiraten (36%) und den Vereinigten Arabischen Emiraten existiert USA (16%). Während viele von diesen möglicherweise gepatchte Versionen ausführen, über SELinux-Schutzfunktionen verfügen oder anderweitig nicht den erforderlichen Kriterien für die Ausführung des Exploits entsprechen, ist die mögliche Angriffsfläche für diese Sicherheitsanfälligkeit groß.
PS Der Commit-Fix im SAMBA-Github-Projekt scheint Commit 02a76d86db0cbe79fcaf1a500630e24d961fa149 zu sein