이 Samba의 새로운 취약점은 이미 "Sambacry"라고하며, 익스플로잇 자체는 "Eternal Red Samba"를 다음과 같이 트위터에 발표했습니다.
삼바 버그, metasploit one-liner 트리거는 다음과 같습니다 : simple.create_pipe ( "/ path / to / target.so")
잠재적으로 영향을받는 Samba 버전은 Samba 3.5.0에서 4.5.4 / 4.5.10 / 4.4.14입니다.
Samba 설치가 아래에 설명 된 구성을 충족하는 경우 이미 익스플로잇 , 파이썬의 기타 익스플로잇 및
메타 스플 로이트 모듈 이 있으므로 수정 / 업그레이드를 최대한 빨리 수행해야합니다 .
더 흥미롭게도, 이미로부터 노하우 팟에 추가 기능이 있습니다 허니넷 프로젝트, 하는 Dionaea WannaCry과에 모두 SambaCry 플러그인 .
삼바 외침은 이미 더 많은 암호 마이너 "EternalMiner" 를 설치 하거나 향후 맬웨어 드롭퍼로 두 배로 사용되는 것으로 보입니다 .
카스퍼 스키 랩 (Kaspersky Lab)의 연구원 팀이 설정 한 허니팟은 SambaCry 취약점을 악용하여 악성 코드 캠페인을 캡처하여 cryptocurrency 마이닝 소프트웨어로 Linux 컴퓨터를 감염시킵니다. 또 다른 보안 연구원 인 Omri Ben Bassat 는 동일한 캠페인을 독립적으로 발견 하고 이름을 "EternalMiner"로 지정했습니다.
업데이트하기 전에 Samba가 설치된 시스템 (CVE 공지에도 있음)에 대한 권장 해결 방법은 다음에 추가됩니다 smb.conf
.
nt pipe support = no
(Samba 서비스 재시작)
이것은 Windows IPC 명명 된 파이프 서비스에 익명으로 연결하는 기능을 켜거나 끄는 설정을 비활성화해야합니다. 보낸 사람 man samba
:
이 전역 옵션은 개발자가 Windows NT / 2000 / XP 클라이언트가 NT 관련 SMB IPC $ 파이프에 연결할 수 있도록 허용하거나 허용하지 않는 데 사용됩니다. 사용자는 기본값을 무시할 필요가 없습니다.
그러나 우리의 내부 경험에 따르면 수정 프로그램이 이전 버전과 호환되지 않는 것 같습니다. Windows 버전 (적어도 일부 Windows 7 클라이언트는에서 작동하지 않는 것 같음 nt pipe support = no
)과 같은 치료 경로는 극단적 인 경우 Samba를 설치하거나 컴파일 할 수 있습니다.
보다 구체적으로이 수정은 Windows 클라이언트에서 공유 목록을 비활성화하고 적용되는 경우 공유를 사용하려면 공유의 전체 경로를 수동으로 지정해야합니다.
다른 알려진 해결 방법은 Samba 공유가 noexec
옵션 과 함께 마운트되도록하는 것입니다. 이렇게하면 마운트 된 파일 시스템에 상주하는 바이너리가 실행되지 않습니다.
공식 보안 소스 코드 패치는 여기 로부터 samba.org 보안 페이지 .
데비안은 이미 어제 (24/5) 업데이트를 공개했으며 해당 보안 공지 DSA-3860-1 삼바
Centos / RHEL / Fedora에서 취약점이 수정되어 파생되었는지 확인하려면 다음을 수행하십시오.
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
지금이 nmap
감지 스크립트 : samba-vuln-cve-2017-7494.nse
삼바 버전, 또는 더 나은 검출 nmap
서비스에 취약한 지 확인 스크립트를 http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse 에서 복사 /usr/share/nmap/scripts
한 다음 nmap
데이터베이스 를 업데이트 하거나 다음과 같이 실행하십시오.
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
SAMBA 서비스를 보호하기위한 장기 조치 정보 : SMB 프로토콜은 절대로 인터넷에 직접 제공해서는 안됩니다.
또한 SMB는 항상 복잡한 프로토콜이었으며 이러한 종류의 서비스는 방화벽이되어 내부 네트워크 (서비스를 제공하는 네트워크)로 제한되어야합니다.
가정 또는 기업 네트워크에 대한 원격 액세스가 필요한 경우 VPN 기술을 사용하여 이러한 액세스를보다 잘 수행해야합니다.
일반적으로이 상황에서 필요한 최소 서비스 만 설치하고 활성화하는 Unix 원칙은 그만한 가치가 있습니다.
익스플로잇 자체에서 가져온 것 :
영원한 레드 삼바 악용-CVE-2017-7494.
취약한 Samba 서버가 루트 컨텍스트에서 공유 라이브러리를로드하도록합니다.
서버에 게스트 계정이있는 경우 자격 증명이 필요하지 않습니다.
원격 악용의 경우 하나 이상의 공유에 대한 쓰기 권한이 있어야합니다.
Eternal Red는 Samba 서버가 쓸 수있는 공유를 검색합니다. 또한 원격 공유의 전체 경로를 결정합니다.
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
또한 SELinux가 활성화 된 시스템은이 취약점에 취약하지 않은 것으로 알려져 있습니다.
보기 일곱 살 삼바 결함은 원격으로 리눅스 PC를 해커 액세스 수천 수 있습니다
Shodan 컴퓨터 검색 엔진에 따르면, 485,000 대 이상의 Samba 지원 컴퓨터가 인터넷에서 포트 445를 노출했으며 Rapid7의 연구원에 따르면 104,000 개 이상의 인터넷 노출 엔드 포인트가 취약한 버전의 Samba를 실행하고있는 것으로 나타 났으며 그 중 92,000 개는 지원되지 않는 Samba 버전 실행
Samba는 Linux 및 UNIX 시스템에서 구현 된 SMB 프로토콜이므로 일부 전문가는 WannaCry 랜섬웨어에서 사용하는 "EternalBlue의 Linux 버전"이라고 말합니다.
... 또는 SambaCry라고해야합니까?
취약한 시스템의 수와이 취약점을 쉽게 악용 할 수 있다는 사실을 염두에두고 Samba 결함은 웜 가능한 기능으로 대규모로 악용 될 수 있습니다.
Linux를 실행하는 NAS (Network-Attached Storage) 장치가있는 홈 네트워크도이 결함에 취약 할 수 있습니다.
도 참조 wormable 코드 실행 버그 7 년 동안 삼바에 잠복하고있다. 지금 패치!
CVE-2017-7494로 색인 된 7 살짜리 결함은 몇 가지 조건이 충족되는 한 한 줄의 코드만으로 악의적 인 코드를 실행하기 위해 안정적으로 악용 될 수 있습니다. 이러한 요구 사항에는 다음과 같은 취약한 컴퓨터가 포함됩니다.
(a) 인터넷에서 파일 및 프린터 공유 포트 445에 접근 할 수 있도록하고
(b) 쓰기 권한을 갖도록 공유 파일을 구성하고
(c) 해당 파일에 대해 알려진 또는 추측 가능한 서버 경로를 사용합니다.
이러한 조건이 충족되면 원격 공격자는 취약한 플랫폼에 따라 자신이 선택한 코드를 업로드하여 서버가 루트 권한이없는 상태에서 실행되도록 할 수 있습니다.
익스플로잇의 용이성과 신뢰성을 감안할 때이 구멍은 최대한 빨리 막을 가치가 있습니다. 공격자가 적극적으로 대상을 시작하기까지는 시간 문제 일 수 있습니다.
또한 7 빠른 - 삼바에 CVE-2017-7494 패치 : 그것은 생명의 원의
그리고 더 많은 SambaCry : WannaCry에 대한 Linux 속편 .
알아야 할 사실
CVE-2017-7494의 CVSS 점수는 7.5 (CVSS : 3.0 / AV : N / AC : H / PR : L / UI : N / S : U / C : H / I : H / A : H)입니다.
위협 범위
"port : 445! os : windows"에 대한 shodan.io 쿼리는 인터넷에 tcp / 445가 열려있는 약 백만 개의 비 Windows 호스트를 보여줍니다.이 중 절반 이상이 아랍 에미리트 (36 %)에 있으며 미국 (16 %) 이들 중 다수는 패치 된 버전을 실행 중이거나 SELinux 보호 기능이 있거나 악용을 실행하는 데 필요한 기준과 일치하지 않을 수 있지만이 취약점에 대한 가능한 공격 범위는 큽니다.
PS SAMBA github 프로젝트의 커밋 수정은 commit 02a76d86db0cbe79fcaf1a500630e24d961fa149 인 것으로 보입니다.