Linux システム上の「WannaCry」: どのように身を守りますか?

この Samba の新しい脆弱性はすでに「Sambacry」と呼ばれていますが、エクスプロイト自体には「Eternal Red Samba」と記載されており、Twitter で次のように（センセーショナルに）発表されています。

Samba のバグ。トリガーするメタスプロイトのワンライナーは、次のとおりです: simple.create_pipe("/path/to/target.so")

影響を受ける可能性のある Samba のバージョンは、Samba 3.5.0 から 4.5.4/4.5.10/4.4.14 です。

Sambaのインストールが以下に説明する構成を満たしている場合は、すでに修正/アップグレードが行われているため、できるだけ早く修正/アップグレードを行う必要があります。悪用、 他のPython でのエクスプロイトそして メタスプロイトモジュールは存在します。

さらに興味深いことに、既知のハニーポットへのアドオンがすでに存在しています。ハニーネットプロジェクト、ディオネアWannaCryとSambaCry プラグイン。

サンバの叫び声はすでに（乱用）されているようだより多くの暗号通貨マイナーをインストールする「EternalMiner」または将来的にはマルウェアドロッパーとしても活躍する。

カスペルスキー研究所の研究チームが設置したハニーポットは、SambaCryの脆弱性を悪用してLinuxコンピュータに暗号通貨マイニングソフトウェアを感染させるマルウェア攻撃を捕捉した。別のセキュリティ研究者であるオムリ・ベン・バサットは、発見した同じキャンペーンを開始し、「EternalMiner」と名付けました。

Samba がインストールされているシステム (CVE 通知にも記載されています) を更新する前に推奨される回避策は、以下を追加することですsmb.conf。

nt pipe support = no

(そしてSambaサービスを再起動する)

これは、Windows IPC 名前付きパイプ サービスへの匿名接続を行う機能をオン/オフにする設定を無効にするためのものです。 出典man samba:

このグローバル オプションは、開発者が Windows NT/2000/XP クライアントが NT 固有の SMB IPC$ パイプに接続する機能を許可または禁止するために使用されます。ユーザーとして、デフォルトを上書きする必要はありません。

しかし、弊社の内部経験からすると、この修正は古いバージョンの Windows とは互換性がないようです (少なくとも一部の Windows 7 クライアントは では動作しないようですnt pipe support = no)。そのため、修復ルートとしては、極端な場合には Samba をインストールしたりコンパイルしたりすることが必要になる場合があります。

具体的には、この修正により、Windows クライアントからの共有リストが無効になり、適用された場合、共有を使用するには共有の完全なパスを手動で指定する必要があります。

他の既知の回避策は、Samba 共有がオプションでマウントされていることを確認することですnoexec。これにより、マウントされたファイルシステムにあるバイナリの実行が防止されます。

公式のセキュリティソースコードパッチはここからsamba.org セキュリティ ページ。

Debianはすでに昨日（5/24）アップデートを公開しており、それに伴うセキュリティ通知も公開されている。DSA-3860-1 サンバ

Centos/RHEL/Fedora およびその派生製品で脆弱性が修正されているかどうかを確認するには、次の手順を実行します。

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

検出スクリプトができましたnmap:samba-vuln-cve-2017-7494.nsenmapSambaのバージョンを検出するためのスクリプト、またはサービスが脆弱であるかどうかを確認する より優れたスクリプトhttp://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve-2017-7494.nseにコピーしてデータベース/usr/share/nmap/scriptsを更新するnmapか、次のように実行します。

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

SAMBA サービスを保護するための長期的な対策について: SMB プロトコルは、インターネット全体に直接提供されるべきではありません。

また、SMB は常に複雑なプロトコルであり、この種のサービスはファイアウォールで保護され、[サービスが提供される] 内部ネットワークに制限される必要があることも言うまでもありません。

自宅や特に企業ネットワークへのリモート アクセスが必要な場合は、VPN テクノロジーを使用してアクセスする方が適切です。

いつものように、このような状況では、必要最小限のサービスのみをインストールしてアクティブ化するという Unix の原則が効果を発揮します。

エクスプロイト自体から抜粋:

Eternal Red Samba エクスプロイト -- CVE-2017-7494。
脆弱な Samba サーバーが共有ライブラリをルート コンテキストでロードします。
サーバーにゲスト アカウントがある場合は、資格情報は必要ありません。
リモート エクスプロイトの場合、少なくとも 1 つの共有への書き込み権限が必要です。Eternal
Red は、書き込み可能な共有を Samba サーバーでスキャンします。また、リモート共有のフルパスも決定します。

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

また、SELinux が有効になっているシステムは、この脆弱性に対して脆弱ではないこともわかっています。

見る7 年前の Samba の欠陥により、ハッカーが数千台の Linux PC にリモートアクセス可能

Shodan コンピュータ検索エンジンによると、485,000 台以上の Samba 対応コンピュータがインターネット上でポート 445 を公開しており、Rapid7 の研究者によると、インターネットに公開されている 104,000 台以上のエンドポイントが脆弱なバージョンの Samba を実行しているようで、そのうち 92,000 台はサポートされていないバージョンの Samba を実行しているとのことです。

Samba は Linux および UNIX システムに実装されている SMB プロトコルであるため、一部の専門家は、WannaCry ランサムウェアで使用される「EternalBlue の Linux バージョン」であると述べています。

...それともSambaCryと言うべきでしょうか?

脆弱なシステムの数と、この脆弱性を悪用する容易さを考慮すると、Samba の欠陥はワーム化可能な機能によって大規模に悪用される可能性があります。

[Linux も実行する] ネットワーク接続ストレージ (NAS) デバイスを備えたホーム ネットワークも、この欠陥の影響を受ける可能性があります。

参照ワーム化可能なコード実行バグが 7 年間 Samba に潜んでいました。今すぐパッチを適用してください。

CVE-2017-7494 としてインデックス付けされた 7 年前のこの脆弱性は、いくつかの条件が満たされる限り、わずか 1 行のコードで悪用され、悪意のあるコードを実行することができます。これらの条件には、次のような脆弱なコンピューターが含まれます。

(a) ファイルおよびプリンタ共有ポート 445 をインターネット上でアクセス可能にし、
(b) 共有ファイルに書き込み権限を持つように構成し、
(c) これらのファイルに対して既知または推測可能なサーバー パスを使用します。

これらの条件が満たされると、リモートの攻撃者は任意のコードをアップロードし、脆弱なプラットフォームに応じて、制限のないルート権限でサーバーにそれを実行させることができます。

エクスプロイトの容易さと信頼性を考えると、このセキュリティホールはできるだけ早く塞ぐ価値があります。攻撃者が積極的にこのホールを狙い始めるのは時間の問題でしょう。

またRapid 7 - Samba の CVE-2017-7494 のパッチ: それは生命の循環

もっとSambaCry: WannaCry の Linux 版続編。

知っておくべき事実

CVE-2017-7494 の CVSS スコアは 7.5 (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)3 です。

脅威の範囲

shodan.io の「port:445 !os:windows」クエリでは、インターネットに tcp/445 が開かれている約 100 万の非 Windows ホストが示され、その半分以上がアラブ首長国連邦 (36%) と米国 (16%) にあります。これらの多くはパッチを適用したバージョンを実行しているか、SELinux 保護を備えているか、またはエクスプロイトを実行するために必要な条件を満たしていない可能性がありますが、この脆弱性に対する攻撃対象領域は広大です。

PS SAMBA githubプロジェクトのコミット修正はコミットのようです02a76d86db0cbe79fcaf1a500630e24d961fa149

Samba サーバーを実行しているほとんどの人は、おそらくそれを LAN 内部のファイアウォールの背後で実行しており、ポートを外部に直接公開していません。

もしそうしたら、それはひどい行為であり、OpenVPN のようなシンプルで効果的で無料 (ビールもスピーチも無料) の VPN ソリューションがある中では許されない行為です。SMB はオープン インターネットを念頭に置いて設計されたものではないため (TCP/IP はプロトコルで後から追加されました)、そのように扱う必要があります。追加の提案としては、実際のファイル共有ホストで、すべての SMB ポート ( 139/TCP、、445/TCPおよび) でローカル (最終的には VPN) ネットワーク アドレスのみをホワイトリストに登録するファイアウォール ルールを実行すること137/UDPです138/UDP。

また、使用ケースが許す場合は、Samba を権限なしで (たとえば、sambaのエイリアスではないユーザーとしてroot) 実行することを検討する必要があります。この設定で NT ACL の制限と POSIX ACL を組み合わせるのはそれほど簡単ではないことは理解していますが、特定の設定でそれが可能であれば、それが最善の方法です。

最後に、このような「ロックダウン」があっても、可能であればパッチを適用し (それが実行できない NAS ボックスもあるため)、 にnt pipe support設定して特定のユースケースが機能するかどうかをテストすることをお勧めしますno。