Den andra veckan, Microsoft fick sin säkerhet tänder sparkade på när en gammal SMB säkerhetshål var utnyttjas av WannaCry ransomware attack. Denna vecka, det är tur Samba, det populära open-source SMB-server.
Som WannaCry säkerhetshål, den goda nyheten är Samba för fildelning bugg har redan fixat. Den dåliga nyheten är att du kan använda Samba utan att veta om det. I detta fall kan det finnas något sätt för dig att korrigera det.
Var? Hur? Om du har en nätverksansluten lagringsenhet (NAS) som håller din leverantörsskulder, dokumentarkiv, eller bara din kid ‘ s high-school-examen bilder, är chansen att du kör Samba, öppen källkod fil-och skrivarserver. Det är ofta används i dessa enheter och leverantörer att göra dem är inte kända för att patcha sina system snabbt, eller ibland, på alla.
Ännu värre, hål, CVE-2017-7494, är sju år gammal. Felet går tillbaka till Samba-3.5.0, som släpptes den 10 Mars, 2010. Alla versioner sedan — jag upprepar, alla versioner — inklusive de senaste, 4.6.4, är utsatta för detta fjärrkörning av kod.
De dåliga nyheterna slutar inte där. Medan Samba-4.6.4, 4.5.10, och 4.4.14 har utfärdats som säkerhet utgåvor för att rätta till felet, du måste manuellt patch äldre Samba-versioner.
Detta hål gör det möjligt för en angripare att ladda upp ett delat bibliotek för att en skrivbar enhet aktie. En gång, en hacker kan göra servern lasta och köra en skadlig nyttolast som root-användare. Vilken typ av nyttolast? Ganska mycket allt går.
Utnyttja server verkar vara trivialt. HD Moore, VP Research & Development på säkerhetsföretaget Atredis Partner, hävdar att “metasploit one-liner för att utlösa är bara: enkel.create_pipe(“/sökväg/till/target.så”)
Detta fjärrkörning av kod fel är skräddarsydd för att användas av script-kiddies. Det finns ingen anledning för någon mastermind hackare att utnyttja det. I en dag eller två, på mest, vem som helst ska kunna använda det.
Säkerhetsföretaget Rapid7 rapporter, “internet är inte på elden ännu, men det finns en stor potential för att det ska bli ganska otäck. Om det är en sårbar version av Samba som körs på en enhet, och en skadlig aktör som har tillgång till att ladda upp filer för att maskinen utnyttjande är av ringa betydelse.”
Hur illa är det egentligen? I ett Projekt Ekolod, Rapid7 Labs rapporter att hitta mer än 104,000 internet-utsatt-slutpunkter som verkar vara igång sårbara versioner av Samba på port 445. “Av dessa är nästan 90 procent (92,570) kör-versioner som det finns för närvarande ingen direkt patch finns tillgänglig.”
Om du kör Samba på en Linux-eller Unix-server, du behöver för att laga den nu. Om du kör en version av Samba som inte är fixad ännu, du uppgradera till en nyare, lappade edition så snart som möjligt. Om du av någon anledning inte kan göra det antingen måste du redigera din smb.conf-fil. Detta är Samba-server som är master konfigurationsfilen.
För att göra det, lägg till parameter: nt rörhållare = nej [global] avsnitt i din smb.conf och starta om smbd, Samba-server. Detta hindrar kunder från att komma åt alla namngivna röret slutpunkter och därmed göra användning av hålet. Tyvärr, nollställning denna parameter kan också påverka hur Windows-klienter åtkomst till filer och kataloger på en Samba-baserad delad enhet.
Exakt hur? Bra fråga. Vi vet inte ännu. Är inte det kul?
Låt oss dock säga att du inte kan korrigera det. Ja, den stora Linux-distributörer har redan gjort det lätt att fixa dina servrar. NAS leverantörer … inte så mycket.
Så vad kan du göra? Här är hur du skyddar dig om du är ansvarig för ditt företags server eller om du bara har en NAS med din Loony Tunes tecknad film samling.
För det första, se till att ingen av era Samba-aktier är offentliga. Genom att göra det möjligt att någon på ditt nätverk att skriva till det, du gör det också möjligt för dem att plantera skadlig kod.
Nästa, om du har låt folk besöker din Samba-lagring via internet genom att hålla port 445 öppna, sluta upp med det. Nu. Blockera port med din brandvägg. Denna port skall aldrig vara öppen för världen.
För nu, ingen verkar vara att angripa detta hål. Jag tror inte för en minut denna period kommer att pågå under lång tid. Det är alltför lätt att attackera och risken för skador är för hög. Patch för det, fixa det, blockera åtkomst till de otvättade massorna att det, gör vad du kan för att skydda din Samba-server idag, eller du kommer att ångra det i morgon.
Relaterade Artiklar:
Nya och förbättrade Samba filserver releasedHow WannaCrypt attacksHow för att försvara dig mot WannaCrypt globala ransomware attack