Entsprechendein Rapid7-ArtikelEs gibt einige gefährdeteSambaVersionen, die eine Remotecodeausführung auf Linux-Systemen ermöglichen:
WährendIch könnte heulenDer Ransomworm befiel Windows-Systeme und war leicht zu identifizieren, mit klaren Abhilfemaßnahmen, derSambaDie Sicherheitsanfälligkeit wird sich auf Linux- und Unix-Systeme auswirken und könnte erhebliche technische Hindernisse für die Beschaffung oder Bereitstellung geeigneter Abhilfemaßnahmen darstellen.
Alle Versionen von Samba ab 3.5.0 sind anfällig für eine Remotecodeausführungsschwachstelle, die es einem böswilligen Client ermöglicht, eine gemeinsam genutzte Bibliothek in eine beschreibbare Freigabe hochzuladen und dann den Server zu veranlassen, sie zu laden und auszuführen.
Mögliches Angriffsszenario:
Ausgehend von den beiden Faktoren:
- Die Samba-Sicherheitslückeist nicht behobennoch nicht auf einigen Linux-Distributionen.
- In einigen Linux-Kernel-Versionen liegt eine nicht gepatchte Sicherheitslücke zur lokalen Rechteausweitung vor (zum Beispiel CVE-2017-7308 im generischen Ubuntu-Kernel 4.8.0-41).
Ein Angreifer kann auf einen Linux-Rechner zugreifen und seine Rechte erhöhen, indem er eine lokale Exploit-Schwachstelle ausnutzt, um Root-Zugriff zu erhalten und eine mögliche zukünftige Ramsomware zu installieren, ähnlich diesem Modell WannaCry-Ransomware für Linux.
Aktualisieren
Ein neuster Artikel„Warnung! Hacker nutzen nun den „SambaCry-Fehler“, um Linux-Systeme zu hacken“demonstrieren, wie man die Sambacry-Schwachstelle ausnutzt, um einen Linux-Rechner zu infizieren.
Die Vorhersage erwies sich als ziemlich zutreffend, da die von dem Forscherteam vonKaspersky Labhaben eine Malware-Kampagne aufgedeckt, die die SambaCry-Sicherheitslücke ausnutzt, um Linux-Computer mit Kryptowährungs-Mining-Software zu infizieren.
Ein anderer Sicherheitsforscher, Omri Ben Bassat, entdeckte unabhängig davon die gleiche Kampagne und nannte sie"Ewiger Bergmann".
Den Angaben der Forscher zufolge hat eine unbekannte Hackergruppe nur eine Woche nach Bekanntwerden der Samba-Sicherheitslücke damit begonnen, Linux-PCs zu kapern und eine aktualisierte Version von „CPUminer“ zu installieren, einer Software zum Mining von Kryptowährungen, die die digitale Währung „Monero“ schürft.
Nachdem die Angreifer die anfälligen Maschinen ausnutzen, um die SambaCry-Sicherheitslücke zu kompromittieren, führen sie auf den Zielsystemen zwei Payloads aus:
INAebsGB.so – Eine Reverse-Shell, die den Angreifern Fernzugriff ermöglicht.
cblRWuoCc.so – Eine Hintertür, die Dienstprogramme zum Mining von Kryptowährungen enthält – CPUminer.
TrendLab-Bericht vom 18. Juli 2017:Linux-Benutzer müssen dringend aktualisieren, da eine neue Bedrohung SambaCry ausnutzt
Wie sichere ich ein Linux-System, um Angriffe zu verhindern?
Antwort1
Diese neue Samba-Sicherheitslücke wird bereits „Sambacry“ genannt, während der Exploit selbst „Eternal Red Samba“ erwähnt und auf Twitter (sensationell) wie folgt angekündigt wurde:
Samba-Fehler, der auszulösende Metasploit-Einzeiler lautet einfach: simple.create_pipe("/path/to/target.so")
Potenziell betroffene Samba-Versionen sind Samba 3.5.0 bis 4.5.4/4.5.10/4.4.14.
Wenn Ihre Samba-Installation die unten beschriebenen Konfigurationen erfüllt, sollte die Korrektur/Aktualisierung so schnell wie möglich durchgeführt werden, da es bereitsHeldentaten, andereExploit in PythonUnd MetasploitModule da draußen.
Interessanterweise gibt es bereits Add-ons zu einem bekannten Honeypot aus demHonignetzProjekt,dionaeasowohl zu WannaCry als auchSambaCry-Plugins.
Der Samba-Schrei scheint bereits (missbraucht) zu werden, ummehr Krypto-Miner installieren"EternalMiner" oderVerdoppeln Sie in Zukunft Ihre Funktion als Malware-Dropper.
Honeypots, die von einem Forscherteam von Kaspersky Lab eingerichtet wurden, haben eine Malware-Kampagne aufgedeckt, die die SambaCry-Sicherheitslücke ausnutzt, um Linux-Computer mit Kryptowährungs-Mining-Software zu infizieren. Ein anderer Sicherheitsforscher, Omri Ben Bassat, hat unabhängig davonentdecktdie gleiche Kampagne und nannte sie „EternalMiner.“
Die empfohlene Problemumgehung für Systeme mit installiertem Samba (die auch im CVE-Hinweis enthalten ist) vor der Aktualisierung besteht im Hinzufügen von smb.conf:
nt pipe support = no
(und Neustart des Samba-Dienstes)
Dies soll eine Einstellung deaktivieren, die die Möglichkeit zum Herstellen anonymer Verbindungen mit dem Windows IPC Named Pipes-Dienst ein- und ausschaltet. Von man samba:
Diese globale Option wird von Entwicklern verwendet, um Windows NT/2000/XP-Clients die Möglichkeit zu geben oder zu untersagen, Verbindungen zu NT-spezifischen SMB IPC$-Pipes herzustellen. Als Benutzer sollten Sie die Standardeinstellung niemals überschreiben müssen.
Aus unserer internen Erfahrung scheint es jedoch, dass der Fix nicht mit älteren Windows-Versionen kompatibel ist (zumindest einige Windows 7-Clients scheinen damit nicht zu funktionieren nt pipe support = no), und daher kann der Abhilfeweg in Extremfällen darin bestehen, Samba zu installieren oder sogar zu kompilieren.
Genauer gesagt deaktiviert dieser Fix die Freigabeauflistung von Windows-Clients. Wenn er angewendet wird, müssen diese den vollständigen Pfad der Freigabe manuell angeben, um sie verwenden zu können.
Eine andere bekannte Problemumgehung besteht darin, sicherzustellen, dass Samba-Freigaben mit der noexecOption gemountet werden. Dadurch wird die Ausführung von Binärdateien verhindert, die sich auf dem gemounteten Dateisystem befinden.
Der offizielle Sicherheits-Quellcode-Patch istHiervon demsamba.org Sicherheitsseite.
Debian hat bereits gestern (24.5.) ein Update veröffentlicht und den entsprechenden SicherheitshinweisDSA-3860-1 Samba
Um zu überprüfen, ob die Sicherheitslücke in Centos/RHEL/Fedora und Derivaten behoben ist, gehen Sie wie folgt vor:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Es gibt jetzt ein nmapErkennungsskript:samba-vuln-cve-2017-7494.nse zur Erkennung von Samba-Versionen oder ein viel besseres nmapSkript, das prüft, ob der Dienst anfällig isthttp://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve-2017-7494.nse, kopieren Sie es in /usr/share/nmap/scriptsdie Datenbank und aktualisieren Sie sie anschließend nmap, oder führen Sie es wie folgt aus:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Zu langfristigen Maßnahmen zum Schutz des SAMBA-Dienstes: Das SMB-Protokoll sollte niemals direkt im gesamten Internet angeboten werden.
Es versteht sich auch von selbst, dass SMB schon immer ein kompliziertes Protokoll war und dass diese Art von Diensten durch eine Firewall geschützt und auf die internen Netzwerke beschränkt werden sollten [die mit der Bereitstellung versorgt werden].
Wenn Fernzugriff erforderlich ist, sei es auf Heim- oder insbesondere Unternehmensnetzwerke, sollten diese Zugriffe besser über die VPN-Technologie erfolgen.
Wie immer zahlt sich in solchen Situationen das Unix-Prinzip aus, nur die unbedingt erforderlichen Mindestdienste zu installieren und zu aktivieren.
Aus dem Exploit selbst entnommen:
Eternal Red Samba Exploit – CVE-2017-7494.
Bewirkt, dass der anfällige Samba-Server eine gemeinsam genutzte Bibliothek im Root-Kontext lädt.
Anmeldeinformationen sind nicht erforderlich, wenn der Server über ein Gastkonto verfügt.
Für einen Remote-Exploit müssen Sie über Schreibberechtigungen für mindestens eine Freigabe verfügen.
Eternal Red durchsucht den Samba-Server nach Freigaben, auf die es schreiben kann. Es ermittelt auch den vollständigen Pfad der Remote-Freigabe.For local exploit provide the full path to your shared library to load. Your shared library should look something like this extern bool change_to_root_user(void); int samba_init_module(void) { change_to_root_user(); /* Do what thou wilt */ }
Es ist auch bekannt, dass Systeme mit aktiviertem SELinux nicht für den Exploit anfällig sind.
Sehen7 Jahre alter Samba-Fehler ermöglicht Hackern Fernzugriff auf Tausende Linux-PCs
Laut der Computersuchmaschine Shodan haben über 485.000 Samba-fähige Computer den Port 445 im Internet offengelegt, und laut Forschern bei Rapid7 schienen auf über 104.000 dem Internet ausgesetzten Endpunkten anfällige Versionen von Samba zu laufen, von denen 92.000 nicht unterstützte Versionen von Samba ausführen.
Da Samba das auf Linux- und UNIX-Systemen implementierte SMB-Protokoll ist, bezeichnen einige Experten es als „Linux-Version von EternalBlue“, das von der Ransomware WannaCry verwendet wird.
… oder sollte ich SambaCry sagen?
Angesichts der Anzahl anfälliger Systeme und der Leichtigkeit, mit der diese Sicherheitsanfälligkeit ausgenutzt werden kann, könnte die Samba-Schwachstelle in großem Maßstab mithilfe von Wurmfunktionen ausgenutzt werden.
Heimnetzwerke mit Network-Attached Storage (NAS)-Geräten [auf denen auch Linux läuft] könnten ebenfalls für diesen Fehler anfällig sein.
Siehe auchSeit 7 Jahren lauert in Samba ein wurmfähiger Code-Ausführungsfehler. Jetzt patchen!
Der sieben Jahre alte Fehler, der als CVE-2017-7494 indiziert ist, kann zuverlässig mit nur einer Codezeile ausgenutzt werden, um Schadcode auszuführen, solange einige Bedingungen erfüllt sind. Zu diesen Anforderungen gehören anfällige Computer, die:
(a) Machen Sie den Port 445 für die gemeinsame Nutzung von Dateien und Druckern über das Internet erreichbar.
(b) Konfigurieren Sie freigegebene Dateien so, dass sie Schreibrechte haben.
(c) Verwenden Sie für diese Dateien bekannte oder erratbare Serverpfade.Wenn diese Bedingungen erfüllt sind, können Remote-Angreifer beliebigen Code hochladen und den Server veranlassen, ihn auszuführen, möglicherweise mit uneingeschränkten Root-Rechten, je nach anfälliger Plattform.
Angesichts der Einfachheit und Zuverlässigkeit von Exploits lohnt es sich, diese Lücke so schnell wie möglich zu schließen. Es ist wahrscheinlich nur eine Frage der Zeit, bis Angreifer beginnen, sie aktiv anzugreifen.
AuchRapid 7 - Patchen von CVE-2017-7494 in Samba: Es ist der Kreislauf des Lebens
Und mehrSambaCry: Die Linux-Fortsetzung von WannaCry.
Wissenswertes
CVE-2017-7494 hat einen CVSS-Score von 7,5 (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)3.
Bedrohungsumfang
Eine shodan.io-Abfrage von „port:445 !os:windows“ zeigt etwa eine Million Nicht-Windows-Hosts, die TCP/445 für das Internet geöffnet haben, von denen sich mehr als die Hälfte in den Vereinigten Arabischen Emiraten (36 %) und den USA (16 %) befinden. Obwohl viele von ihnen möglicherweise gepatchte Versionen ausführen, über SELinux-Schutz verfügen oder anderweitig nicht die erforderlichen Kriterien zum Ausführen des Exploits erfüllen, ist die mögliche Angriffsfläche für diese Sicherheitslücke groß.
PS Der Commit-Fix im SAMBA-Github-Projekt scheint ein Commit zu sein02a76d86db0cbe79fcaf1a500630e24d961fa149
Antwort2
Die meisten von uns, die Samba-Server betreiben, führen diese wahrscheinlich in LANs hinter Firewalls aus und setzen die Ports nicht direkt der Außenwelt aus.
Es wäre eine schreckliche Praxis, wenn Sie das täten, und eine unentschuldbare, wenn es einfache, effektive und kostenlose (wie Bier und wie Sprache) VPN-Lösungen wie OpenVPN gibt. SMB wurde nicht für das offene Internet entwickelt (verdammt, TCP/IP kam in diesem Protokoll sogar erst nachträglich vor) und sollte auch so behandelt werden. Ein weiterer Vorschlag ist, Firewall-Regeln auf dem eigentlichen File-Sharing-Host auszuführen, die nur lokale (und eventuell VPN-)Netzwerkadressen auf allen SMB-Ports ( , 139/TCPund ) auf die Whitelist setzen.445/TCP137/UDP138/UDP
Wenn Ihr Anwendungsfall es erlaubt, sollten Sie außerdem erwägen, Samba ohne Berechtigungen auszuführen (z. B. als sambaBenutzer, der nicht der Alias von ist root). Ich verstehe, dass es mit diesem Setup nicht so einfach ist, die Einschränkungen von NT-ACLs mit POSIX-ACLs zu kombinieren, aber wenn es in Ihrem speziellen Setup möglich ist, ist es die richtige Lösung.
Abschließend sei noch darauf hingewiesen, dass es selbst bei einem solchen „Lockdown“ immer noch ratsam ist, wenn möglich einen Patch anzuwenden (da es NAS-Boxen gibt, bei denen dies möglicherweise nicht möglich ist) und zu testen, ob Ihr spezieller Anwendungsfall mit der Einstellung „ nt pipe supportset to“ funktioniert no.