该Samba新漏洞已被称为“ Sambacry”,而漏洞利用程序本身则提到了“ Eternal Red Samba”,在Twitter上(引起轰动)宣布为:
Samba错误,触发的metasploit一线只是:simple.create_pipe(“ / path / to / target.so”)
可能受影响的Samba版本从Samba 3.5.0到4.5.4 / 4.5.10 / 4.4.14。
如果您的Samba的安装是否符合配置描述波纹管,修复/升级,应尽快做的已经有漏洞,其他在python开发和
Metasploit的模块在那里。
更有趣的是,已经有附加从一个知道蜜罐蜜网项目,dionaea既WannaCry和SambaCry插件。
桑巴的呐喊似乎已经被(滥用)用于安装更多的加密矿工 “ EternalMiner”,或者在将来作为恶意软件的替代品。
卡巴斯基实验室的研究人员团队建立的蜜罐捕获了一个恶意软件活动,该活动利用SambaCry漏洞利用加密货币挖掘软件感染Linux计算机。另一名安全研究员Omri Ben Bassat独立发现了同一活动,并将其命名为“ EternalMiner”。
在更新之前,已安装Samba的系统(在CVE声明中也存在)的建议解决方法将添加至smb.conf:
nt pipe support = no
(并重新启动Samba服务)
这应该禁用一个设置,该设置可以打开/关闭与Windows IPC命名管道服务进行匿名连接的功能。来自man samba:
开发人员可使用此全局选项来允许或禁止Windows NT / 2000 / XP客户端建立与NT特定的SMB IPC $管道的连接。作为用户,您永远不需要覆盖默认值。
但是从我们的内部经验来看,似乎该修复程序与旧版本不兼容?Windows版本(至少某些Windows 7客户端似乎不能与一起使用nt pipe support = no),因此,在极端情况下,修复途径可能会导致安装或编译Samba。
更具体地说,此修复程序禁用Windows客户端的共享列表,如果应用了共享,则必须手动指定共享的完整路径才能使用它。
其他已知的解决方法是确保使用该noexec选件安装Samba共享。这将阻止执行已挂载文件系统上的二进制文件。
官方的安全性源代码补丁是在这里从samba.org安全页面。
Debian已于昨天(24/5)推出了更新,并发布了相应的安全通知DSA-3860-1 samba
要验证该漏洞是否已在Centos / RHEL / Fedora及其衍生版本中得到纠正,请执行以下操作:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
现在有一个nmap检测脚本:samba-vuln-cve-2017-7494.nse 用于检测Samba版本,或者是一个更好的nmap脚本,用于检查服务是否易受攻击,网址为http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse,将其复制到/usr/share/nmap/scripts然后更新nmap数据库,或按以下方式运行它:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
关于保护SAMBA服务的长期措施:绝对不应将SMB协议直接提供给整个Internet。
毋庸置疑,SMB一直是一个复杂的协议,应该对这类服务进行防火墙保护,并将其限制在[为其提供服务的内部网络]中。
当需要远程访问时,无论是到家庭还是公司网络的访问,都应该使用VPN技术更好地完成这些访问。
通常,在这种情况下,仅安装和激活所需的最低服务的Unix原则确实会奏效。
从漏洞本身获取:
永恒的红色Samba漏洞-CVE-2017-7494。
使易受攻击的Samba服务器在根上下文中加载共享库。
如果服务器具有访客帐户,则不需要凭据。
对于远程利用,您必须至少具有一个共享的写权限。
永恒红色将扫描Samba服务器以查找可写入的共享。它还将确定远程共享的完整路径。
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
众所周知,启用SELinux的系统不容易受到攻击。
查看具有7年历史的Samba缺陷,使黑客可以远程访问成千上万的Linux PC
根据Shodan计算机搜索引擎,超过485,000台启用Samba的计算机暴露了Internet上的445端口,并且据Rapid7的研究人员称,超过104,000处暴露于Internet的端点似乎正在运行易受攻击的Samba版本,其中有92,000个处于运行状态。运行不受支持的Samba版本。
由于Samba是在Linux和UNIX系统上实现的SMB协议,因此一些专家称它是WannaCry勒索软件使用的“ EternalBlue的Linux版本”。
...还是我应该说SambaCry?
考虑到易受攻击的系统的数量和易于利用此漏洞,可以使用可蠕虫功能大规模利用Samba漏洞。
具有[也运行Linux]的网络连接存储(NAS)设备的家庭网络也容易受到此漏洞的影响。
另请参阅在Samba中潜伏了7年的可蠕虫代码执行错误。立即修补!
只要满足一些条件,就可以仅使用一行代码来可靠地利用索引号为CVE-2017-7494的具有七年历史的漏洞来执行恶意代码。这些要求包括易受攻击的计算机:
(a)使文件和打印机共享端口445在Internet上可访问,
(b)将共享文件配置为具有写权限,并且
(c)对这些文件使用已知或可猜测的服务器路径。
满足这些条件后,远程攻击者可以上载自己选择的任何代码,并根据可能受到攻击的平台,使服务器执行该代码,并可能具有不受限制的root特权。
鉴于漏洞利用程序的简便性和可靠性,值得尽快弥补这一漏洞。攻击者开始主动瞄准它只是时间问题。
也是Rapid 7-在Samba中修补CVE-2017-7494:这是生活的圈子
以及更多SambaCry:WannaCry的Linux续集。
需要知道的事实
CVE-2017-7494的CVSS得分为7.5(CVSS:3.0 / AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H)3。
威胁范围
shodan.io查询中的“ port:445!os:windows”显示大约有一百万个非tcp / 445的非Windows主机向Internet开放,其中一半以上在阿拉伯联合酋长国(36%)存在,而美国(16%)。尽管其中许多可能正在运行修补程序的版本,具有SELinux保护或与运行漏洞利用程序的必要标准不匹配,但此漏洞的潜在攻击面很大。
PS SAMBA github项目中的提交修复似乎是commit 02a76d86db0cbe79fcaf1a500630e24d961fa149