Linux 系統上的「WannaCry」：如何保護自己？

Question 1

這個 Samba 新漏洞已經被稱為“Sambacry”，而該漏洞本身提到了“永恆的紅色桑巴”，在 Twitter 上（聳人聽聞）宣佈為：

Samba bug，觸發的metasploit單行程式碼只是： simple.create_pipe("/path/to/target.so")

可能受影響的 Samba 版本為 Samba 3.5.0 至 4.5.4/4.5.10/4.4.14。

如果您的 Samba 安裝符合下面所述的配置，則應盡快完成修復/升級，因為已經有功績，其他python 的漏洞利用和元漏洞那裡有模組。

更有趣的是，已經有來自已知蜜罐的附加組件蜜網專案,捕蠅草屬既想哭又想哭SambaCry 插件。

森巴舞的吶喊似乎已經被（濫用）習慣了安裝更多加密貨幣礦工「永恆礦工」或未來將身為惡意軟體投放者加倍努力。

卡巴斯基實驗室研究人員團隊建立的蜜罐捕獲了一場惡意軟體活動，該活動利用 SambaCry 漏洞利用加密貨幣挖礦軟體感染 Linux 電腦。另一位安全研究員 Omri Ben Bassat‏，獨立發現同一個活動並將其命名為“EternalMiner”。

對於安裝了 Samba 的系統（也出現在 CVE 通知中），在更新之前建議的解決方法是新增smb.conf：

nt pipe support = no

（並重新啟動Samba服務）

這應該會禁用一個設置，該設置打開/關閉與 Windows IPC 命名管道服務建立匿名連接的能力。從man samba：

開發人員使用此全域選項來允許或禁止 Windows NT/2000/XP 用戶端連接到特定於 NT 的 SMB IPC$ 管道。作為用戶，您永遠不需要覆蓋預設值。

但是從我們的內部經驗來看，該修復似乎與舊版本不相容？ Windows 版本（至少有些？Windows 7 用戶端似乎無法使用nt pipe support = no），因此在極端情況下修復路徑可以是安裝甚至編譯 Samba。

更具體地說，此修復禁用 Windows 用戶端的共享列表，如果應用，他們必須手動指定共享的完整路徑才能使用它。

其他已知的解決方法是確保使用該noexec選項安裝 Samba 共用。這將阻止執行駐留在已安裝檔案系統上的二進位。

官方的安全原始碼補丁是這裡來自samba.org 安全頁面。

Debian 昨天（24/5）已經推出了更新，以及相應的安全通知DSA-3860-1 森巴舞

若要驗證 Centos/RHEL/Fedora 及其衍生版本中的漏洞是否已修正，請執行下列操作：

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

現在有一個nmap檢測腳本：samba-vuln-cve-2017-7494.nse 用於偵測 Samba 版本，或一個更好的nmap腳本來檢查服務是否容易受到攻擊http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve-2017-7494.nse，將其複製到然後/usr/share/nmap/scripts更新nmap資料庫，或按如下方式運行：

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

關於保護 SAMBA 服務的長期措施： SMB 協定絕不應直接提供給整個 Internet。

不言而喻，SMB 一直是一個複雜的協議，這些類型的服務應該受到防火牆的保護並限制在[它們所服務的]內部網路中。

當需要遠端存取時，無論是家庭網路還是特別是公司網絡，這些存取最好使用 VPN 技術來完成。

像往常一樣，在這種情況下，僅安裝和啟動所需的最少服務的 Unix 原則確實得到了回報。

取自漏洞本身：

永恆紅色桑巴漏洞 - CVE-2017-7494。
導致易受攻擊的 Samba 伺服器在根上下文中載入共享庫。
如果伺服器有訪客帳戶，則不需要憑證。
對於遠端利用，您必須擁有至少一個共享的寫入權限。
Eternal Red 將掃描 Samba 伺服器以尋找可寫入的共用。它還將確定遠端共享的完整路徑。
    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

眾所周知，啟用 SELinux 的系統不易受到該漏洞的攻擊。

看已有 7 年歷史的 Samba 漏洞可讓駭客遠端存取數千台 Linux PC

根據Shodan 電腦搜尋引擎的數據，超過485,000 台支援Samba 的電腦在網路上暴露了連接埠445，根據Rapid7 的研究人員的說法，超過104,000 個暴露於互聯網的端點似乎正在運行易受攻擊的Samba 版本，其中92,000 個端點是運行不支援的 Samba 版本。

由於Samba是在Linux和UNIX系統上實現的SMB協議，因此一些專家稱它是WannaCry勒索軟體所使用的「Linux版本的EternalBlue」。

……或者我應該說 SambaCry？

考慮到易受攻擊的系統的數量以及利用此漏洞的容易程度，Samba 缺陷可以透過可蠕蟲功能進行大規模利用。

具有網路附加儲存 (NAS) 設備（也運行 Linux）的家庭網路也可能容易受到此缺陷的影響。

也可以看看一個可蠕蟲的程式碼執行錯誤已在 Samba 潛伏了 7 年。立即修補！

這個已有七年歷史的漏洞，索引號為 CVE-2017-7494，只要滿足一些條件，只需一行程式碼就可以可靠地利用它來執行惡意程式碼。這些要求包括易受攻擊的計算機：

(a) 使檔案和印表機共用連接埠 445 在 Internet 上可訪問，
(b) 將共用檔案配置為具有寫入權限，以及
(c) 對這些檔案使用已知或可猜測的伺服器路徑。

當這些條件滿足時，遠端攻擊者可以上傳他們選擇的任何程式碼並導致伺服器執行它，可能具有不受限制的 root 權限，具體取決於易受攻擊的平台。

考慮到漏洞利用的簡單性和可靠性，這個漏洞值得盡快修復。攻擊者開始積極瞄準它可能只是時間問題。

也Rapid 7 - 在 Samba 修補 CVE-2017-7494：這是生命的循環

和更多SambaCry：WannaCry 的 Linux 續集。

需要了解的事實

CVE-2017-7494 的 CVSS 分數為 7.5 (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)3。

威脅範圍

shodan.io 查詢「port:445 !os:windows」顯示約 100 萬台非 Windows 主機對 Internet 開放 tcp/445，其中超過一半存在於阿拉伯聯合大公國 (36%)，美國（16%）。雖然其中許多可能正在運行修補版本，具有 SELinux 保護，或不符合運行漏洞的必要標準，但此漏洞的可能攻擊面很大。

PS SAMBA github專案中的提交修復似乎是commit02a76d86db0cbe79fcaf1a500630e24d961fa149

Answer