EternalBlue- появилась Linux версия эксплойта
В ПО samba была обнаружена уязвимость, которая уже как 7 лет предоставляла возможность выполнения кода удаленно. Эта уязвимость может позволить злоумышленнику получить управление Linux и Unix серверами.
Samba — ПО с открытым кодом, реализует протокол smb, работающий практически во всех ОС Windows, Linux, Unix, OpenVMS, IBM System 390/
С помощью ПО samba, не Windows ОС могут получать доступ к сетевым папкам, принтерам, файлам расположенных на Windows. И наоборот, можно с Windows получать доступ к общим папкам на Linux.
Обнаруженная уязвимость CVE-2017-7494, позволяющая выполнять код удаленно, присутствует во всех версиях выше чем samba 3.5.0.
Согласно данным поисковой машины Shodan, обнаружено около 485 000 ПК с поддержкой Samba и открытым портом 445. При этом как сообщает Rapid7 более 104 000 используют samba версии в которой есть уязвимость.
Ввиду того, что samba это реализация SMB протокола для Linux/Unix ОС, эксперты заговорили о версии EternalBlue для Linux ОС или даже SambaCry.
Беря во внимание количество систем подверженных уязвимости, эта находка может перейти в большую проблему. При этом сети с системами хранения NAS так же могут попасть в зону риска.
Код эксплоита выглядит следующим образом:
Злоумышленники легко могут использовать этот код, для этого в системе требуется выполнить всего одну строку
|
1 |
simple.create_pipe("/path/to/target.so") |
Samba эксплоит уже добавлен в платформу Metasploit Framework, теперь исследователи и хакеры могут его с легкостью изучать.
Что делать? Как защитить Linux?
В самых последних версиях samba эта проблема устранена. Рекомендуем перейти на версии Samba 4.6.4 / 4.5.10 / 4.4.14, где уязвимость устранена.
Если быстро перейти на другую ветку не удается, то можно закрыть уязвимость добавив в smb.conf следующую строку
|
1 |
nt pipe support = no |
После чего выполнить перезагрузку самба демона.
В Red Hat и Ubuntu уже доступны исправленные версии для пользователей. Однако пользователи зачастую быстро не выполняют обновления.
По словам Крейг Уильямс (Craig Williams) из Cisco: учитывая, что большинство NAS-устройств используют Samba и хранят важные данные, эта уязвимость «может стать первым крупномасштабным червем Ransomware для Linux»
Разработчики Samba также подготовили патчи для старых и не поддерживаемых версий.
Нужна оперативная защита linux сервера, обращайтесь [email protected]
