この Samba の新しい脆弱性はすでに「Sambacry」と呼ばれていますが、エクスプロイト自体は「Eternal Red Samba」に言及しており、Twitter で (センセーショナルに) 次のように発表されています。
<ブロック引用>Samba バグ、トリガーする metasploit ワンライナーは次のとおりです:simple.create_pipe("/path/to/target.so")
影響を受ける可能性のある Samba のバージョンは、Samba 3.5.0 から 4.5.4/4.5.10/4.4.14 です。
Samba のインストールが以下に説明する構成を満たしている場合は、既にエクスプロイトが存在するため、修正/アップグレードをできるだけ早く行う必要があります。Python および metasploit モジュールには他のエクスプロイトが存在します。
さらに興味深いことに、ハニーネット プロジェクトの既知のハニーポットには、WannaCry プラグインと SambaCry プラグインの両方に dionaea というアドオンが既に存在します。
Samba cry は、より多くの暗号マイナー「EternalMiner」をインストールするために、または将来的にマルウェア ドロッパーとして倍増するために、すでに (ab) 使用されているようです。
<ブロック引用>Kaspersky Lab の研究者チームによって設定されたハニーポットは、SambaCry の脆弱性を悪用して Linux コンピューターに暗号通貨マイニング ソフトウェアを感染させるマルウェア キャンペーンを捕捉しました。別のセキュリティ研究者である Omri Ben Bassat は、独自に同じキャンペーンを発見し、「EternalMiner」と名付けました。
Samba がインストールされているシステム (CVE 通知にも記載されています) を更新する前に推奨される回避策は、04
に追加することです。 :
nt pipe support = no
(および Samba サービスの再起動)
これは、Windows IPC 名前付きパイプ サービスへの匿名接続を行う機能のオン/オフを切り替える設定を無効にすることになっています。 17
から :
このグローバル オプションは、WindowsNT/2000/XP クライアントが NT 固有の SMBIPC$ パイプに接続する機能を許可または禁止するために、開発者によって使用されます。ユーザーとして、デフォルトをオーバーライドする必要はありません。
しかし、私たちの内部経験から、修正は古いものと互換性がないようです? Windows バージョン (少なくとも一部? Windows 7 クライアントは 29
では動作しないようです) )、そして極端な場合、修正ルートは Samba のインストールまたはコンパイルにまで及ぶ可能性があります。
より具体的には、この修正により、Windows クライアントからの共有リストが無効になり、適用された場合、共有を使用できるように共有のフル パスを手動で指定する必要があります。
他の既知の回避策は、Samba 共有が 36
でマウントされていることを確認することです。 オプション。これにより、マウントされたファイルシステムに存在するバイナリの実行が防止されます。
公式のセキュリティ ソース コード パッチは、samba.org セキュリティ ページから入手できます。
Debian はすでに昨日 (24/5) 更新を公開しており、対応するセキュリティ通知 DSA-3860-1 samba
Centos/RHEL/Fedora および派生物で脆弱性が修正されているかどうかを確認するには、次の手順を実行します。
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
46
が追加されました 検出スクリプト :53
Samba のバージョンを検出するため、またははるかに優れた 61
http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve-2017-7494.nse でサービスが脆弱かどうかをチェックするスクリプトを 76にコピーします。コード>
80
を更新します database 、または次のように実行します:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
SAMBA サービスを保護するための長期的な対策について:SMB プロトコルは、インターネット全体に直接提供されるべきではありません。
言うまでもなく、SMB は常に複雑なプロトコルであり、この種のサービスはファイアウォールで保護され、[サービスが提供される] 内部ネットワークに制限されるべきです。
自宅または特に企業ネットワークへのリモート アクセスが必要な場合、それらのアクセスは VPN テクノロジを使用してより適切に行う必要があります。
いつものように、このような状況では、必要最小限のサービスのみをインストールしてアクティブ化するという Unix の原則が有効です。
エクスプロイト自体から取得:
<ブロック引用>
Eternal Red Samba エクスプロイト -- CVE-2017-7494。
脆弱な Samba サーバーがルート コンテキストで共有ライブラリをロードするようにします。
サーバーにゲスト アカウントがある場合、資格情報は必要ありません。
リモートで悪用するには、少なくとも 1 つの共有への書き込み権限が必要です。
Eternal Red は Samba サーバーをスキャンして、書き込み可能な共有を探します。また、リモート共有のフルパスも特定します。
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
また、SELinux が有効になっているシステムはエクスプロイトに対して脆弱ではないことも知られています。
7 年前の Samba の欠陥により、ハッカーが数千台の Linux PC にリモートでアクセスできるようになる
<ブロック引用>Shodan コンピューター検索エンジンによると、485,000 を超える Samba 対応コンピューターがインターネット上のポート 445 を公開しており、Rapid7 の研究者によると、104,000 を超えるインターネットに公開されたエンドポイントが Samba の脆弱なバージョンを実行しているように見え、そのうち 92,000 がサポートされていないバージョンを実行しています。サンバの。
Samba は Linux および UNIX システムに実装された SMB プロトコルであるため、WannaCry ランサムウェアが使用する「EternalBlue の Linux バージョン」であると専門家は述べています。
...それとも SambaCry と言うべきでしょうか?
脆弱なシステムの数と、この脆弱性を悪用する容易さを考慮すると、Samba の欠陥はワーム可能な機能で大規模に悪用される可能性があります。
[Linux も実行する] ネットワーク接続ストレージ (NAS) デバイスを使用するホーム ネットワークも、この欠陥に対して脆弱である可能性があります。
ワーム可能なコード実行バグが 7 年前から Samba に潜んでいました。今すぐパッチを当ててください!
<ブロック引用>CVE-2017-7494 としてインデックス化された 7 年前の脆弱性は、いくつかの条件が満たされている限り、わずか 1 行のコードで悪意のあるコードを実行することで確実に悪用される可能性があります。これらの要件には、次のような脆弱なコンピュータが含まれます:
(a) ファイルおよびプリンター共有ポート 445 をインターネット上で到達可能にする。
(b) 書き込み権限を持つように共有ファイルを構成し、
(c) これらのファイルには、既知または推測可能なサーバー パスを使用します。
これらの条件が満たされると、リモートの攻撃者は選択した任意のコードをアップロードし、脆弱なプラットフォームに応じて無制限の root 権限を使用して、サーバーにそれを実行させることができます。
エクスプロイトの容易さと信頼性を考えると、この穴はできるだけ早く塞ぐ価値があります。攻撃者が積極的に標的にし始めるのは時間の問題でしょう.
また、Rapid 7 - Samba で CVE-2017-7494 にパッチを適用する:それはサークル オブ ライフです
その他 SambaCry:WannaCry の Linux 続編。
<ブロック引用>知っておくべき事実
CVE-2017-7494 の CVSS スコアは 7.5 (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)3 です。
脅威の範囲
「port:445 !os:windows」の shodan.io クエリは、約 100 万の Windows 以外のホストがインターネットに対して開いている tcp/445 を示しており、その半数以上がアラブ首長国連邦 (36%) と米国に存在します。 . (16%)。これらの多くは、パッチが適用されたバージョンを実行している、SELinux 保護を備えている、またはエクスプロイトを実行するために必要な基準に適合していない可能性がありますが、この脆弱性による攻撃対象領域は大きいです。
追記SAMBA github プロジェクトのコミット修正は commit 02a76d86db0cbe79fcaf1a500630e24d961fa149 のようです
外部で Samba サーバーを実行している私たちのほとんどは、ファイアウォールの内側でおそらく LAN 内で実行しており、そのポートを外部に直接公開していません。
OpenVPNのようなシンプルで効果的で無料の(ビールやスピーチのように)VPNソリューションが周りにある場合、それは許しがたいことです. SMB は、オープンなインターネットを念頭に置いて設計されたものではなく (TCP/IP は、そのプロトコルの後付けでさえありました)、そのように扱われるべきです。追加の提案は、すべての SMB ポート (93
) でローカル (および最終的には VPN) ネットワーク アドレスのみをホワイトリストに登録する、実際のファイル共有ホストでファイアウォール ルールを実行することです。 、 105
、 112
と 125
).
また、ユースケースが許せば、Samba を非特権で実行することを検討する必要があります (たとえば、132
など)。 143
のエイリアスではないユーザー )。 NT ACL の制限と POSIX ACL をこのセットアップで結び付けるのは簡単ではないことは理解していますが、特定のセットアップでそれが可能であれば、それが最適です。
最後に、このような「ロックダウン」があっても、可能であればパッチを適用し (実行できない NAS ボックスがあるため)、特定のユースケースが 158<で機能するかどうかをテストすることをお勧めします。 /コード>
166
に設定 .