Cette nouvelle vulnérabilité de Samba s'appelle déjà "Sambacry", alors que l'exploit lui-même mentionne "Eternal Red Samba", annoncé sur Twitter (de manière sensationnelle) comme:
Samba bug, le métasploit one-liner à déclencher est juste: simple.create_pipe ("/ path / to / target.so")
Les versions de Samba potentiellement concernées vont de Samba 3.5.0 à 4.5.4 / 4.5.10 / 4.4.14.
Si votre installation Samba respecte les configurations décrites ci-dessous, le correctif / la mise à niveau doit être effectué dès que possible, car il existe déjà des exploits , d'autres exploits en python et des
modules metasploit .
Plus assez intéressant, il y a des add-ons déjà un savoir honeypot le honeynet projet, dionaea deux à WannaCry et SambaCry plug-ins .
Samba Cry semble déjà être utilisé (ab) pour installer plus de crypto-mineurs "EternalMiner" ou doubler comme un dropper de malware .
Les pots de miel mis en place par l'équipe de chercheurs de Kaspersky Lab ont capturé une campagne de programmes malveillants exploitant la vulnérabilité de SambaCry pour infecter les ordinateurs Linux avec un logiciel d'extraction de crypto-monnaie. Un autre chercheur en sécurité, Omri Ben Bassat, a découvert indépendamment la même campagne et l'a nommée "EternalMiner".
La solution de contournement conseillée pour les systèmes sur lesquels Samba est installé (et qui figure également dans la notification CVE) avant de la mettre à jour est la suivante smb.conf
:
nt pipe support = no
(et redémarrage du service Samba)
Ceci est supposé désactiver un paramètre qui active / désactive la possibilité d'établir des connexions anonymes au service de tubes nommés Windows IPC. De man samba
:
Les développeurs utilisent cette option globale pour autoriser ou interdire aux clients Windows NT / 2000 / XP de se connecter à des canaux SMB IPC $ spécifiques à NT. En tant qu'utilisateur, vous ne devriez jamais avoir besoin de remplacer la valeur par défaut.
Cependant, de notre expérience interne, il semble que le correctif n'est pas compatible avec plus ancien? Les versions Windows (du moins certains? Les clients Windows 7 ne semblent pas fonctionner avec la nt pipe support = no
), et en tant que telle, la voie de la correction peut aller dans des cas extrêmes à l’installation ou même à la compilation de Samba.
Plus spécifiquement, ce correctif désactive la liste des partages des clients Windows et, s’ils sont appliqués, ils doivent spécifier manuellement le chemin complet du partage pour pouvoir les utiliser.
Une autre solution connue consiste à s'assurer que les partages Samba sont montés avec l' noexec
option. Cela empêchera l'exécution des fichiers binaires résidant sur le système de fichiers monté.
Le correctif officiel du code source de la sécurité est disponible sur la page de sécurité de samba.org .
Debian a déjà lancé hier (24/5) une mise à jour et l’avis de sécurité correspondant, DSA-3860-1, samba
Pour vérifier si la vulnérabilité est corrigée dans Centos / RHEL / Fedora et ses dérivés, procédez comme suit:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
Il existe maintenant un nmap
script de détection: samba-vuln-cve-2017-7494.nse
pour détecter les versions de Samba, ou un nmap
script bien meilleur qui vérifie si le service est vulnérable à l' adresse http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve. -2017-7494.nse , copiez-le dans /usr/share/nmap/scripts
, puis mettez à jour la nmap
base de données ou exécutez-le comme suit:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
Mesures à long terme pour protéger le service SAMBA: le protocole SMB ne doit jamais être offert directement à Internet au sens large.
Il va sans dire également que SMB a toujours été un protocole compliqué et que ce type de services devrait être protégé par un pare-feu et limité aux réseaux internes [auxquels ils sont desservis].
Lorsqu'un accès à distance est nécessaire, que ce soit vers le réseau domestique ou spécialement vers les réseaux d'entreprise, ces accès devraient être mieux réalisés à l'aide de la technologie VPN.
Comme d'habitude, dans ces situations, le principe Unix consistant à n'installer et activer que les services minimum requis s'avère payant.
Tiré de l'exploit lui-même:
Exploitation de la samba rouge éternelle - CVE-2017-7494.
Force le serveur Samba vulnérable à charger une bibliothèque partagée dans un contexte racine.
Les informations d'identification ne sont pas nécessaires si le serveur a un compte invité.
Pour exploiter à distance, vous devez disposer d'autorisations d'écriture sur au moins un partage.
Eternal Red analysera le serveur Samba à la recherche de partages sur lesquels il peut écrire. Il déterminera également le chemin complet du partage distant.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
Il est également connu que les systèmes sur lesquels SELinux est activé ne sont pas vulnérables à l'exploit.
Découvrez la faille Samba de 7 ans qui permet aux pirates d'accéder à des milliers de PC Linux à distance
Selon le moteur de recherche informatique Shodan, plus de 485 000 ordinateurs compatibles Samba ont exposé le port 445 sur Internet et, selon les chercheurs de Rapid7, plus de 104 000 terminaux exposés à Internet semblaient exécuter des versions vulnérables de Samba, dont 92 000 sont exécuter des versions non supportées de Samba.
Samba étant le protocole SMB implémenté sur les systèmes Linux et UNIX, certains experts disent qu'il s'agit de la "version Linux de EternalBlue" utilisée par le ransomware WannaCry.
... ou devrais-je dire SambaCry?
Tenant compte du nombre de systèmes vulnérables et de la facilité d’exploitation de cette vulnérabilité, la faille Samba pourrait être exploitée à grande échelle avec des fonctionnalités pouvant être vermifugées.
Les réseaux domestiques avec des périphériques de stockage en réseau (NAS) [qui fonctionnent également sous Linux] pourraient également être vulnérables à cette faille.
Voir aussi Un bogue d’exécution de code vermifuge se cache dans Samba depuis 7 ans. Patch maintenant!
La faille de sept ans, indexée sous la référence CVE-2017-7494, peut être exploitée de manière fiable avec une seule ligne de code pour exécuter du code malveillant, pour autant que certaines conditions soient remplies. Ces exigences incluent les ordinateurs vulnérables qui:
(a) rendre le port 445 de partage de fichiers et d'imprimantes accessible sur Internet,
(b) configurer les fichiers partagés pour qu'ils disposent de privilèges d'écriture et
(c) utiliser des chemins d'accès au serveur connus ou prévisibles pour ces fichiers.
Lorsque ces conditions sont remplies, les attaquants distants peuvent télécharger le code de leur choix et le faire exécuter par le serveur, éventuellement avec des privilèges root sans entraves, en fonction de la plate-forme vulnérable.
Compte tenu de la facilité et de la fiabilité des exploits, ce trou mérite d’être bouché dès que possible. Ce n'est probablement qu'une question de temps avant que les attaquants ne commencent à le cibler activement.
Aussi Rapid 7 - Patching CVE-2017-7494 à Samba: c'est le cercle de la vie
Et plus encore SambaCry: La suite Linux de WannaCry .
Ce qu'il faut savoir
CVE-2017-7494 a un score CVSS de 7.5 (CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3.
Portée de la menace
Une requête shodan.io de "port: 445! Os: windows" indique qu'environ un million d'hôtes non-Windows ayant TCP / 445 ouverts à Internet, dont plus de la moitié se trouvent aux Émirats arabes unis (36%) et États-Unis (16%). Bien que bon nombre d'entre eux exécutent des versions corrigées, ont une protection SELinux ou ne répondent pas aux critères nécessaires à l'exécution de l'exploit, la surface d'attaque possible de cette vulnérabilité est grande.
Post- scriptum Le correctif de validation dans le projet SAMBA github semble être commit 02a76d86db0cbe79fcaf1a500630e24d961fa149