SMB to problemy: Samba z luką pozwalającą zaatakować Linuksa i NAS-y

Luki w bezpieczeństwie protokołu Server Message Block (SMB),umożliwiającym komunikację między urządzeniami w sieciachWindows, ostatnio dały się nam we znaki, za sprawą ransomwareWannaCry – którego autorzy wykorzystali exploit przygotowany przezNSA przeciwko implementacji Microsoftu. Na tym jednak nie koniecproblemów z SMB w tym miesiącu. Tym razem problem tkwi walternatywnej implementacji tego protokołu dla systemów uniksowych,czyli Sambie. Mówiąc wprost, zagrożone może być mnóstwolinuksowych urządzeń podłączonych do Internetu, w tym dyskisieciowe i routery.

Wszystkie wersje Samby, poczynając od wydanej w 2010 roku wersji3.50, podatne są na lukę oznaczoną jako CVE-2017-7494: pozwala onana wgranie współdzielonej biblioteki (*.so) do zasobu zuprawnieniami zapisu i następnie zmuszenie serwera do jejzaładowania i uruchomienia, z uprawnieniami administracyjnymi.

Examples of exploiting Samba CVE-2017-7494 on Ubuntu 16.04 and a Synology NAS. Metasploit module should be PRd sometime in the next 24 hours pic.twitter.com/rQSKnt2CIk

— HD Moore (@hdmoore) 24 maja 2017Atak ten jest bardzo łatwy do przeprowadzenia, i na pewno działana Ubuntu 16.04 LTS oraz popularnych dyskach sieciowych Synology.Dostępny jest już moduł do frameworka Metasploit, za pomocąktórego przejąć można jednym poleceniem podatne maszyny. A jestich w publicznej sieci niemało: z informacji przedstawionych przezbadaczy firmy Rapid 7 wynika, że podczas ostatniego skanu Internetuwykryto ponad 104 tysiące końcówek z działającą wrażliwąwersją Samby, z czego niemal 90% ma zainstalowane wersje, na którenie ma łatek.

Łatki pojawiły się bowiem tylko dla wspieranych wersji, tj.linii 4.6.x, 4.5.x i 4.4.x – znajdziemy je na stronie projektuSamba. Oczywiście to po prostu kilka linijek kodu źródłowego,z którymi zwykły użytkownik urządzenia sieciowego niewiele zrobi.Pozostaje mu czekać na poprawki firmware – albo zastosować prosteobejście, które uniemożliwi atak.

Wystarczy w sekcji [global] pliku smb.conf umieścić wiersz:

nt pipe support = no

a następnie zrestartować demona Samby. Co prawda może toutrudnić współdziałanie z klientami Windows, ale póki co stanowijedyne pewne zabezpieczenie przed atakiem, który może poczynićogromne szkody – wiele firm korzysta z dysków NAS doautomatycznego tworzenia kopii zapasowych, chroniąc się w tensposób przed konsekwencjami zainfekowania ransomware. Jeśli wraz zransomware uderzy je szkodnik niszczący kopie zapasowe, to stratymogą być ogromne.

Jeśli chodzi o desktopowe i serwerowe dystrybucje Linuksa, to niejest źle. Poprawki wydane zostały m.in. dla Debiana,Ubuntui RHEL-a.Zalecamy jak najszybszą aktualizację systemu. Choć spory ruch naporcie 465 generowany jest przede wszystkim przez niedobitkiWannaCry, można się spodziewać, że już niebawem botnety wezmąsię za wyszukiwanie podatnych wersji Samby.