Критическая уязвимость SambaCry: как защититься



    В популярном пакете для создания сетевых дисков на различных ОС Samba обнаружена критическая уязвимость, позволяющая удаленно получать контроль над Linux и Unix-системами. Ошибка просуществовала 7 лет — уязвимости CVE-2017-7494 подвержены все версии пакета, начиная с Samba 3.5.0, который вышел 1 марта 2010 года. Сегодня мы поговорим о том, как защититься от этой уязвимости.

    Возможные последствия эксплуатации


    Описания уязвимости публиковали на Хабре (также опубликован код эксплоита ), поэтому не будем останавливаться на этом подробно. Достаточно сказать, что по данным поисковой системы Shodan в настоящий момент из интернета доступны более 485 000 тысяч компьютеров, использующих Samba. Исследователи из Rapid7 оценили долю доступных извне уязвимых систем в 104 000, из них 92 000 компьютеров используют неподдерживаемые версии Samba.

    Эта масштабная проблема затрагивает, в том числе, NAS-серверы Synology:


    Уязвимы также большое количество маршрутизаторов и NAS компании Netgear, которая опубликовала по этому поводу собственный бюллетень безопасности.

    Масштаб проблемы позволил эксперту по безопасности компании Cisco Крейгу Уильямсу (Craig Williams) заявить об угрозе того, что уязвимость CVE-2017-7494 спровоцирует «первую масштабную эпидемию атак червей-вымогателей на Linux-системы».

    Во многих домашних роутерах Samba используется для организации общего доступа к USB-устройствам — причем, как правило в таких случаях таким девайсам открываются права на запись. Поэтому, если производители сетевого оборудования в своих прошивках использовали уявзимую версию Samba, то это открывает широкие возможности по проведению атак, например, для создания ботнетов.

    Как защититься


    Разработчики Samba сообщили об устранении уязвимости в последних версиях пакета (4.6.4/4.5.10/4.4.14) — пользователям рекомендуется как можно скорее установить патч. В том случае, если переход на более свежую версию пакета невозможен, создатели продукта рекомендуют внести изменения в конфигурационный файл smb.conf, добавив в секцию [global] строку:

    nt pipe support = no

    После этого следует перезапустить демон SMB (smbd). Эти изменения заблокируют возможность полного доступа клиентов к сетевым машинам и ограничат функциональность подключенных Windows-систем. Позднее были опубликованы патчи и для более старых версий Samba.

    Заблокировать возможность осуществления атаки можно с помощью политик SELinux — к примеру, конфигурация RHEL по-умолчанию не позволяет злоумышленникам эксплуатировать уязвимость в Samba.

    Компания GuardiCore разработала скрипт для выявления атаки — для его скачивания необходимо заполнить форму на сайте.

    В свою очередь эксперты Positive Technologies создали сигнатуру Suricata, которая позволяет выявлять попытки эксплуатации уязвимости CVE-2017-7494 в Samba:



    Кроме того, для снижения рисков успешной атаки с помощью этой ошибки специалисты компании рекомендуют устанавливать общим папкам права лишь на чтение, но не на запись файлов (о том, как это сделать, можно прочитать в этой инструкции). Найти все сетевые папки с правами на запись может быть непросто — для этого следует использовать, например, инструмент nmap. Увидеть все «шары» с правами на запись можно с помощью следующей команды (смотреть нужно в Current user access):

    nmap --script smb-enum-shares.nse -p445 <host> 

    Кроме того, рекомендуется проанализировать права доступа к сетевым папкам, оставив права на чтение и запись из них только для определенных доверенных пользователей с помощью контрольных списков.
    Positive Technologies
    168.30
    Company
    Share post

    Comments 19

      0

      WannaCry + SambaCry = ?


      Ждем червя, который умеет внедряться в Win и *nix и распространяться с обоих.

        0
        И называть его будут Cross-platformCry
        –3
        из интернета доступны более 485 000 тысяч компьютеров, использующих Samba
        ССЗБ
        как защититься
        снести самбу
          0
            +2
            Я все понимаю, задеты чувства верующих в самбу, только зачем в карму то срать? Минусовать много ума не надо, а возразить слабо?
            Расскажите минусующие, по первому пункту, зачем вы самбу шарите в интернет? Это форма эксгибиционизма такая? И по второму пункту, расскажите, зачем самба на сервере и сколько критических уязвимостей в ней нашли за последнее время.
              0
              Наверно потому что отключить что-то много ума не надо, а заставить работать другое дело
                0

                Просто иногда есть такое слово — надо, а если в сетке рабочие станции на виндах, то самый удобный вариант — это самба.


                А Вы написали фигню, без предложений по выходу из сложившейся ситуации

                  +1
                  Имхо, обмен файлами и файлопомойки на smb ушли в прошлое лет 10 назад. Файлопомойка на самбе — это признак не настроенного делопроизводства в конторе. Впрочем, даже в таких конторах, сейчас, сидящие на расстоянии вытянутой руки люди, передают файлы через облака, ерп, мыло, мессенджеры и прочую вебню.
                  Возможность каждому шарить файлы всем в офисе приводит к тому, что у каждого набирается файлопомойка. Еще к этим файлопомойкам добавляется общая файловая помойка на сервере, куда складывают уже все. В итоге, обычно, когда нужен какой-то документ, его даже не ищут, а просят выложить того, у кого он есть и тот создает еще одну копию этого файла в своей файлопомойке и отправляет ссылку попросившему. Когда начинается какая-то вирусная эпидемия, она поражает половину сети, потому что вирус копирует себя во все шары и дебилы сами запускают вирус на своих машинах. Про то, что в сети всем доступна хренова туча документов, я даже не говорю. Я описываю ситуацию, которая была типичной для офисов 10 летней давности. Сейчас админов таких офисов поувольняли, новые поставили какой-никакой ERP софт и живут без таких проблем.
                  Поэтому, мое предложение — удалить самбу с сервера и как-то уже автоматизировать делопроизводство. Ну а с теми, кто догадался высунуть самбу в интернет — они должны получить урок, вот и все.
                  Я написал коротко и максимально конструктивно. Но у владельцев собственных файлопомоек с кламавом, настроенных по мануалам 20 летней давности, бомбануло.
              0
              Кстати, Synology уже (25 мая) выкатила патч:
              https://www.synology.com/en-us/releaseNote/DS412+
                0
                так а роутеры которые умеют в виндовую шару они же это через самбу делают или там другой пакет?

                обновлять же надо тоже…
                  0
                  ага в LEDE три дня назад запатчили, обновил… как узнать что в старом асусе на родной прошивке…
                  0
                  Согласен, samba наружу торчать не должна.
                    0
                    • Гражданин, у вас самба наружу торчит!
                    • Ох, какой срам, какой срам!
                    +1
                    Интересно было-бы услышать хоть пару слов о том, какие модели домашних роутеров подвержены этой опасности.

                    А то получается SkyNet какой-то, вирус который проникает на любую систему на любом устройстве (а ведь Китайцы умудряются впихнуть все что можно и нельзя, в том числе и smb в свои IP-чайники, кофеварки и камеры).
                      0
                      все модели с подключением диска\принтера по usb и включенной по умолчанию\вручную самбой( мой анализ показал что по умолчанию оно обычно выключено)

                      +2
                      Я понимаю когда у обычного пользователя не хватает знаний и он выставляет голую жопу на мороз samba на улицу. Samba используется в локальных сетях. Почему провайдер не блокирует 445 порт из интернета? Может еще broadcast в интернет выпустить? Куда катится мир…
                        0
                        Сетевая нейтральность-с.
                          0
                          Провайдер не должен решать за клиента, что может торчать наружу, а что — нет. Максимум, настойчиво предупредить, что де есть такая проблема с тем-то и тем-то. А вот производители железа могли бы нарисовать политику усложнения шаринга того или иного протокола на WAN-портах, чтобы только опытные «эникейщики» смогли с первого раза завести «nfs/ssh/rdp/smb… etc» наружу.
                            0
                            Оно им надо (производителям)? Они иной раз свои баги годами не исправляют. Чем сложнее настройка, тем меньше потенциальных покупателей (Ход мыслей: Настройка сложная… Куплю по проще, заодно экономия на опытном «эникейщике»!).

                        Only users with full accounts can post comments. Log in, please.