Essa nova vulnerabilidade do Samba já está sendo chamada "Sambacry", enquanto a própria exploração menciona "Eternal Red Samba", anunciado no twitter (sensacionalmente) como:
Bug do Samba, o metaploit de uma linha para acionar é apenas: simple.create_pipe ("/ path / to / target.so")
As versões potencialmente afetadas do Samba são do Samba 3.5.0 a 4.5.4 / 4.5.10 / 4.4.14.
Se a sua instalação do Samba atender às configurações descritas abaixo, a correção / atualização deve ser feita o mais rápido possível, pois já existem explorações , outras explorações nos módulos python e
metasploit por aí.
O mais interessante é que já existem complementos para um honeypot conhecido do projeto honeynet , dionaea para os plug-ins WannaCry e SambaCry .
O grito de samba parece já estar sendo (ab) usado para instalar mais mineradores de criptografia "EternalMiner" ou dobrar como um conta-gotas de malware no futuro .
honeypots criados pela equipe de pesquisadores da Kaspersky Lab capturaram uma campanha de malware que está explorando a vulnerabilidade do SambaCry para infectar computadores Linux com software de mineração de moedas criptográficas. Outro pesquisador de segurança, Omri Ben Bassat, descobriu independentemente a mesma campanha e a chamou de "EternalMiner".
A solução alternativa recomendada para sistemas com o Samba instalado (que também está presente no aviso do CVE) antes de atualizá-lo, está adicionando smb.conf:
nt pipe support = no
(e reiniciando o serviço Samba)
Isso deve desabilitar uma configuração que ativa / desativa a capacidade de fazer conexões anônimas ao serviço de pipes nomeados do IPC do Windows. De man samba:
Essa opção global é usada pelos desenvolvedores para permitir ou não aos clientes Windows NT / 2000 / XP a capacidade de fazer conexões com pipes SMC IPC $ específicos para NT. Como usuário, você nunca precisará substituir o padrão.
No entanto, a partir de nossa experiência interna, parece que a correção não é compatível com as mais antigas? Versões do Windows (pelo menos alguns clientes do Windows 7 parecem não funcionar com o nt pipe support = no) e, como tal, a rota de correção pode ir em casos extremos para instalar ou mesmo compilar o Samba.
Mais especificamente, essa correção desabilita a listagem de compartilhamentos de clientes Windows e, se aplicada, eles precisam especificar manualmente o caminho completo do compartilhamento para poder usá-lo.
Outra solução conhecida é garantir que os compartilhamentos do Samba estejam montados com a noexecopção Isso impedirá a execução de binários residentes no sistema de arquivos montado.
O patch oficial do código fonte de segurança está aqui na página de segurança do samba.org .
O Debian já lançou ontem (24/5) uma atualização e o aviso de segurança correspondente DSA-3860-1 samba
Para verificar se a vulnerabilidade foi corrigida no Centos / RHEL / Fedora e derivados, faça:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Agora existe um nmapscript de detecção: samba-vuln-cve-2017-7494.nse para detectar versões do Samba, ou um nmapscript muito melhor que verifica se o serviço está vulnerável em http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse , copie-o /usr/share/nmap/scriptse atualize o nmapbanco de dados ou execute-o da seguinte maneira:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Sobre medidas de longo prazo para proteger o serviço SAMBA: O protocolo SMB nunca deve ser oferecido diretamente à Internet em geral.
Também não é preciso dizer que o SMB sempre foi um protocolo complicado e que esse tipo de serviço deve ser protegido por firewall e restrito às redes internas [às quais estão sendo servidos].
Quando o acesso remoto é necessário, tanto em casa quanto em redes corporativas, esses acessos devem ser melhor realizados com a tecnologia VPN.
Como sempre, nessas situações, o princípio Unix de apenas instalar e ativar os serviços mínimos necessários compensa.
Retirado da própria exploração:
Exploração eterna do samba vermelho - CVE-2017-7494.
Faz com que o servidor Samba vulnerável carregue uma biblioteca compartilhada no contexto raiz.
As credenciais não serão necessárias se o servidor tiver uma conta de convidado.
Para exploração remota, você deve ter permissões de gravação para pelo menos um compartilhamento.
O Eternal Red irá procurar no servidor Samba os compartilhamentos nos quais pode gravar. Também determinará o caminho completo do compartilhamento remoto.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
Também é conhecido que os sistemas com o SELinux ativado não são vulneráveis à exploração.
Veja falha de samba de 7 anos permite que hackers acessem milhares de PCs Linux remotamente
De acordo com o mecanismo de busca de computadores Shodan, mais de 485.000 computadores habilitados para Samba expuseram a porta 445 na Internet e, de acordo com pesquisadores do Rapid7, mais de 104.000 endpoints expostos à Internet pareciam estar executando versões vulneráveis do Samba, das quais 92.000 são executando versões não suportadas do Samba.
Como o Samba é o protocolo SMB implementado nos sistemas Linux e UNIX, alguns especialistas dizem que é a "versão Linux do EternalBlue", usada pelo ransomware WannaCry.
... ou devo dizer SambaCry?
Tendo em mente o número de sistemas vulneráveis e a facilidade de explorar essa vulnerabilidade, a falha do Samba pode ser explorada em larga escala com recursos utilizáveis.
As redes domésticas com dispositivos NAS (Network-Attached Storage) [que também executam o Linux] também podem estar vulneráveis a essa falha.
Veja também Um bug de execução de código que se esconde no Samba há 7 anos. Patch agora!
A falha de sete anos, indexada como CVE-2017-7494, pode ser explorada de maneira confiável com apenas uma linha de código para executar código malicioso, desde que sejam cumpridas algumas condições. Esses requisitos incluem computadores vulneráveis que:
(a) torne a porta 445 de compartilhamento de arquivos e impressoras acessível na Internet,
(b) configure os arquivos compartilhados para terem privilégios de gravação e
(c) use caminhos de servidor conhecidos ou imagináveis para esses arquivos.
Quando essas condições são satisfeitas, os atacantes remotos podem fazer upload de qualquer código de sua escolha e fazer com que o servidor o execute, possivelmente com privilégios de root sem restrições, dependendo da plataforma vulnerável.
Dada a facilidade e a confiabilidade das explorações, vale a pena conectar esse buraco o mais rápido possível. Provavelmente é apenas uma questão de tempo até que os atacantes comecem a alvejar ativamente.
Também Rapid 7 - Patching CVE-2017-7494 no Samba: É o Círculo da Vida
E mais SambaCry: o Linux Sequel to WannaCry .
Fatos Necessários
CVE-2017-7494 possui uma pontuação CVSS de 7,5 (CVSS: 3,0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.
Escopo da ameaça
Uma consulta shodan.io de "port: 445! Os: windows" mostra aproximadamente um milhão de hosts não Windows que possuem o tcp / 445 aberto na Internet, mais da metade dos quais existe nos Emirados Árabes Unidos (36%) e no EUA (16%). Embora muitos deles estejam executando versões corrigidas, tenham proteções SELinux ou não correspondam aos critérios necessários para executar a exploração, a superfície de ataque possível para esta vulnerabilidade é grande.
PS A correção de confirmação no projeto do github SAMBA parece estar em execução 02a76d86db0cbe79fcaf1a500630e24d961fa149