r   e   k   l   a   m   a
r   e   k   l   a   m   a

SambaCry uderza w dyski sieciowe – i Twój NAS może już mieć furtkę

Strona główna AktualnościBEZPIECZEŃSTWO

Odkryta w zeszłym miesiącu luka w uniksowej/linuksowej implementacji protokołu SMB zaczyna zbierać swoje żniwo. Oczywiście nie chodzi tu o te kilka linuksowych desktopów. Opracowane przez cyberprzestępców malware uderza w podłączone do Internetu dyski sieciowe (NAS), w szczególności używane przez małe i średnie firmy. To na nich bowiem często pozostawia się publicznie dostępne katalogi, przez które można wgrać swoje pliki na dysk.

W nawiązaniu do słynnego ransomware WannaCry, ta podatność w Sambie otrzymała nazwę SambaCry – WannaCry bazował przecież na exploicie oryginalnej windowsowej implementacji protokołu SMB. Porównywalnych do WannaCry, katastroficznych skutków SambaCry mieć oczywiście nie będzie, ale na pewno może dać się we znaki.

Pierwszym zastosowaniem był botnet koparek kryptowaluty Monero (XMR): infekując podłączone do sieci linuksowe serwery, instalował na nich oprogramowanie EternalMiner/CPUMiner. Jako że Monero wykorzystuje algorytm CryptoNight, zaprojektowany tak, by zminimalizować przewagę GPU i układów ASIC nad CPU, opłacalność wydobywania tej monety na serwerach bez kart graficznych, ale z wydajnymi procesorami jest bardzo duża.

r   e   k   l   a   m   a

Nowy szkodnik, korzystający z SambaCry, bierze na swój cel przede wszystkim przeróżne dyski sieciowe, działające pod kontrolą linuksowych systemów operacyjnych. Otrzymał nazwę ELF_SHELLBIND.A i dostępny jest na wszystkie popularne architektury procesorów wykorzystywane w NAS-ach, oprócz x86 także ARM, PowerPC i MIPS.

Dostarcza się go jako współdzielony obiekt (.so) do publicznie dostępnych folderów Samby. Po aktywacji, szkodnik modyfikuje reguły zapory sieciowej i ustawia połączenia z serwerem dowodzenia i kontroli zlokalizowanym gdzieś we Wschodniej Afryce. Po udanym nawiązaniu połączenia, przyznaje napastnikowi pełen dostęp do powłoki urządzenia – tak że można wykorzystać je już do swoich celów.

Znaleźć podatne na atak NAS-y jest dziś łatwo – wyszukiwarka Internetu Rzeczy Shodan, po podaniu jej ciągu „samba” i portu 445 zwraca dziesiątki tysięcy adresów. Wystarczy zautomatyzować proces wgrywania na te adresy exploita i już – podatne urządzenia padną ofiarą ELF_SHELLBIND.A.

Podstawowym problemem jest to, że mnóstwo NAS-ów pracuje na starych wersjach firmware, stojąc gdzieś na półkach w firmach nieruszane od lat, zgodnie z dewizą „działa – nie ruszać”. Tymczasem wszystkie wersje Samby starsze od 4.6.4/4.5.10/4.4.14 są na atak ten podatne. NAS owszem, wciąż będzie działał, ale to już nie będzie NAS niepilnującej aktualizacji oprogramowania ofiary.

Więcej na ten temat znajdziecie na blogu Trend Micro.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.