SMB to problemy: Samba z luką pozwalającą zaatakować Linuksa i NAS-y

Strona głównaSMB to problemy: Samba z luką pozwalającą zaatakować Linuksa i NAS-y
25.05.2017 12:50
SMB to problemy: Samba z luką pozwalającą zaatakować Linuksa i NAS-y

Luki w bezpieczeństwie protokołu Server Message Block (SMB),umożliwiającym komunikację między urządzeniami w sieciachWindows, ostatnio dały się nam we znaki, za sprawą ransomwareWannaCry – którego autorzy wykorzystali exploit przygotowany przezNSA przeciwko implementacji Microsoftu. Na tym jednak nie koniecproblemów z SMB w tym miesiącu. Tym razem problem tkwi walternatywnej implementacji tego protokołu dla systemów uniksowych,czyli Sambie. Mówiąc wprost, zagrożone może być mnóstwolinuksowych urządzeń podłączonych do Internetu, w tym dyskisieciowe i routery.

bETBPJWt

Wszystkie wersje Samby, poczynając od wydanej w 2010 roku wersji3.50, podatne są na lukę oznaczoną jako CVE-2017-7494: pozwala onana wgranie współdzielonej biblioteki (*.so) do zasobu zuprawnieniami zapisu i następnie zmuszenie serwera do jejzaładowania i uruchomienia, z uprawnieniami administracyjnymi.

Examples of exploiting Samba CVE-2017-7494 on Ubuntu 16.04 and a Synology NAS. Metasploit module should be PRd sometime in the next 24 hours pic.twitter.com/rQSKnt2CIk

— HD Moore (@hdmoore) 24 maja 2017Atak ten jest bardzo łatwy do przeprowadzenia, i na pewno działana Ubuntu 16.04 LTS oraz popularnych dyskach sieciowych Synology.Dostępny jest już moduł do frameworka Metasploit, za pomocąktórego przejąć można jednym poleceniem podatne maszyny. A jestich w publicznej sieci niemało: z informacji przedstawionych przezbadaczy firmy Rapid 7 wynika, że podczas ostatniego skanu Internetuwykryto ponad 104 tysiące końcówek z działającą wrażliwąwersją Samby, z czego niemal 90% ma zainstalowane wersje, na którenie ma łatek.

Serwery aktualizacji Synology najwyraźniej przeciążone: nie sposób sprawdzić dostępność łatki
Serwery aktualizacji Synology najwyraźniej przeciążone: nie sposób sprawdzić dostępność łatki

Łatki pojawiły się bowiem tylko dla wspieranych wersji, tj.linii 4.6.x, 4.5.x i 4.4.x – znajdziemy je na stronie projektuSamba. Oczywiście to po prostu kilka linijek kodu źródłowego,z którymi zwykły użytkownik urządzenia sieciowego niewiele zrobi.Pozostaje mu czekać na poprawki firmware – albo zastosować prosteobejście, które uniemożliwi atak.

bETBPJWv

Wystarczy w sekcji [global] pliku smb.conf umieścić wiersz:

nt pipe support = no

a następnie zrestartować demona Samby. Co prawda może toutrudnić współdziałanie z klientami Windows, ale póki co stanowijedyne pewne zabezpieczenie przed atakiem, który może poczynićogromne szkody – wiele firm korzysta z dysków NAS doautomatycznego tworzenia kopii zapasowych, chroniąc się w tensposób przed konsekwencjami zainfekowania ransomware. Jeśli wraz zransomware uderzy je szkodnik niszczący kopie zapasowe, to stratymogą być ogromne.

Jeśli chodzi o desktopowe i serwerowe dystrybucje Linuksa, to niejest źle. Poprawki wydane zostały m.in. dla Debiana,Ubuntui RHEL-a.Zalecamy jak najszybszą aktualizację systemu. Choć spory ruch naporcie 465 generowany jest przede wszystkim przez niedobitkiWannaCry, można się spodziewać, że już niebawem botnety wezmąsię za wyszukiwanie podatnych wersji Samby.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bETBPJWF
Komentarze (65)
bETBPJXr