"WannaCry" sur les systèmes Linux: comment vous protégez-vous?

Cette nouvelle vulnérabilité de Samba est déjà appelée "Sambacry", tandis que l'exploit lui-même mentionne "Eternal Red Samba", annoncé sur Twitter (sensationnellement) comme:

Bug Samba, le one-liner metasploit à déclencher est juste: simple.create_pipe ("/ path/to/target.so")

Les versions de Samba potentiellement affectées sont de Samba 3.5.0 à 4.5.4/4.5.10/4.4.14.

Si votre installation Samba répond aux configurations décrites ci-dessous, la correction/mise à niveau doit être effectuée dès que possible car il existe déjà exploits , autre exploit en python et metasploit = modules là-bas.

Plus intéressant encore, il existe déjà des modules complémentaires pour un pot de miel connu du projet honeynet , dionaea à la fois pour WannaCry et plug-ins SambaCry .

Le cri de Samba semble déjà être (ab) utilisé pour installer plus de crypto-mineurs "EternalMiner" ou doubler comme un compte-gouttes de malware à l'avenir .

les pots de miel mis en place par l'équipe de chercheurs de Kaspersky Lab ont capturé une campagne de malware qui exploite la vulnérabilité de SambaCry pour infecter les ordinateurs Linux avec un logiciel d'exploration de crypto-monnaie. Un autre chercheur en sécurité, Omri Ben Bassat, indépendamment découvert la même campagne et l'a nommée "EternalMiner".

La solution de contournement conseillée pour les systèmes sur lesquels Samba est installé (qui est également présente dans l'avis CVE) avant de le mettre à jour, ajoute à smb.conf:

nt pipe support = no

(et redémarrage du service Samba)

Ceci est censé désactiver un paramètre qui active/désactive la possibilité d'établir des connexions anonymes aux fenêtres IPC service de canaux nommé. From man samba:

Cette option globale est utilisée par les développeurs pour autoriser ou interdire aux clients Windows NT/2000/XP la possibilité d'établir des connexions avec des canaux spécifiques à NT SMB IPC $. En tant qu'utilisateur, vous ne devriez jamais avoir besoin de remplacer la valeur par défaut.

Cependant, d'après notre expérience interne, il semble que le correctif ne soit pas compatible avec les anciens? Versions Windows (au moins certaines? Les clients Windows 7 ne semblent pas fonctionner avec le nt pipe support = no), et en tant que tel, la voie de correction peut aller dans des cas extrêmes à l'installation ou même à la compilation de Samba.

Plus précisément, ce correctif désactive la liste des partages des clients Windows et, s'il est appliqué, ils doivent spécifier manuellement le chemin complet du partage pour pouvoir l'utiliser.

Une autre solution connue consiste à s'assurer que les partages Samba sont montés avec l'option noexec. Cela empêchera l'exécution de binaires résidant sur le système de fichiers monté.

Le correctif officiel du code source de sécurité est ici à partir de la page de sécurité de samba.org .

Debian a déjà lancé hier (24/5) une mise à jour et l'avis de sécurité correspondant DSA-3860-1 samba

Pour vérifier si la vulnérabilité est corrigée dans Centos/RHEL/Fedora et ses dérivés, procédez comme suit:

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

Il existe maintenant un script de détection nmap: samba-vuln-cve-2017-7494.nse pour détecter les versions de Samba, ou un script nmap bien meilleur qui vérifie si le service est vulnérable sur http://seclists.org/nmap-dev/2017/q2/att -110/samba-vuln-cve-2017-7494.nse , copiez-le dans /usr/share/nmap/scripts, puis mettez à jour la base de données nmap ou exécutez-la comme suit:

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

À propos des mesures à long terme pour protéger le service SAMBA: Le protocole SMB ne doit jamais être proposé directement à Internet en général.

Il va également sans dire que SMB a toujours été un protocole compliqué, et que ce type de services devrait être protégé par un pare-feu et limité aux réseaux internes [auxquels ils sont servis].

Lorsqu'un accès à distance est nécessaire, à la maison ou spécialement aux réseaux d'entreprise, ces accès devraient être mieux effectués en utilisant la technologie VPN.

Comme d'habitude, dans ces situations, le principe Unix consistant à installer et à activer uniquement les services minimaux requis est payant.

Tiré de l'exploit lui-même:

Exploit d'Eternal Red Samba - CVE-2017-7494.
Force le serveur Samba vulnérable à charger une bibliothèque partagée dans le contexte racine.
Les informations d'identification ne sont pas requises si le serveur possède un compte invité.
Pour l'exploit à distance, vous devez avoir des autorisations d'écriture sur au moins un partage.
Eternal Red analysera le serveur Samba pour les partages sur lesquels il peut écrire. Il déterminera également le chemin complet du partage distant.

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

Il est également connu que les systèmes avec SELinux activé ne sont pas vulnérables à l'exploit.

Voir ne faille de Samba de 7 ans permet aux pirates d'accéder à des milliers de PC Linux à distance

Selon le moteur de recherche informatique Shodan, plus de 485 000 ordinateurs compatibles Samba ont exposé le port 445 sur Internet, et selon les chercheurs de Rapid7, plus de 104 000 points de terminaison exposés sur Internet semblaient exécuter des versions vulnérables de Samba, dont 92 000 sont exécuter des versions non prises en charge de Samba.

Étant donné que Samba est le protocole SMB implémenté sur les systèmes Linux et UNIX, certains experts disent qu'il s'agit de la "version Linux d'EternalBlue", utilisée par le ransomware WannaCry.

... ou devrais-je dire SambaCry?

En gardant à l'esprit le nombre de systèmes vulnérables et la facilité d'exploitation de cette vulnérabilité, la faille Samba pourrait être exploitée à grande échelle avec des capacités de ver.

Les réseaux domestiques avec des périphériques de stockage en réseau (NAS) [qui exécutent également Linux] pourraient également être vulnérables à cette faille.

Voir aussi n bug d'exécution de code wormable se cache dans Samba depuis 7 ans. Patch maintenant!

La faille de sept ans, indexée sous le nom CVE-2017-7494, peut être exploitée de manière fiable avec une seule ligne de code pour exécuter du code malveillant, tant que quelques conditions sont remplies. Ces exigences incluent les ordinateurs vulnérables qui:

a) rendre le port de partage de fichiers et d'imprimantes 445 accessible sur Internet,
(b) configurer les fichiers partagés pour avoir des privilèges d'écriture, et
(c) utiliser des chemins de serveur connus ou devinables pour ces fichiers.

Lorsque ces conditions sont remplies, les attaquants distants peuvent télécharger le code de leur choix et forcer le serveur à l'exécuter, éventuellement avec des privilèges root illimités, selon la plate-forme vulnérable.

Compte tenu de la facilité et de la fiabilité des exploits, ce trou mérite d'être bouché le plus tôt possible. Ce n'est probablement qu'une question de temps avant que les attaquants ne commencent à le cibler activement.

Aussi Rapid 7 - Patching CVE-2017-7494 in Samba: It's the Circle of Life

Et plus SambaCry: la suite Linux de WannaCry .

Faits à connaître

CVE-2017-7494 a un score CVSS de 7,5 (CVSS: 3,0/AV: N/AC: H/PR: L/UI: N/S: U/C: H/I: H/A: H) 3.

Portée des menaces

Une requête shodan.io de "port: 445! Os: windows" montre environ un million d'hôtes non Windows qui ont tcp/445 ouvert à Internet, dont plus de la moitié aux Emirats Arabes Unis (36%) et aux États-Unis (16%). Bien que beaucoup d'entre eux puissent exécuter des versions corrigées, avoir des protections SELinux ou ne pas répondre aux critères nécessaires pour exécuter l'exploit, la surface d'attaque possible pour cette vulnérabilité est grande.

P.S. Le correctif de validation dans le projet github SAMBA semble être la validation 2a76d86db0cbe79fcaf1a500630e24d961fa149