Den anden uge, Microsoft fik sin sikkerhed tænderne sparket i når en gammel SMB sikkerhedshul var blevet udnyttet af den WannaCry ransomware angreb. I denne uge, det er den tur Samba, den populære open-source SMB-serveren.
Som WannaCry sikkerhed hul, den gode nyhed er, Samba-fil-deling bug allerede er blevet løst. Den dårlige nyhed er, at du kan bruge Samba-uden at vide det. I dette tilfælde, kan der være ingen måde for dig at lappe på det.
Hvor? Hvordan? Hvis du har en network-attached storage (NAS) – enhed i besiddelse af dine konti, der skal betales, dokument arkiv, eller bare din kid ‘ s high-school eksamen fotos, chancerne er, at du kører med Samba, open source-fil og print server. Det er almindeligt anvendt i disse enheder, og de leverandører, der gør dem er ikke kendt for at lappe deres systemer hurtigt, eller nogle gange, på alle.
Endnu værre hul, CVE-2017-7494, er syv år gammel. Fejlen kan dateres tilbage til Samba 3.5.0, som blev udgivet på Marts 10, 2010. Alle versioner siden da — jeg gentager, alle versioner-herunder den seneste, 4.6.4, er sårbare over for denne fjernkørsel af programkode sårbarhed.
De dårlige nyheder stopper ikke der. Mens Samba 4.6.4, 4.5.10, og 4.4.14 har været udstedt som sikkerhed udgivelser for at rette fejlen, vil du nødt til manuelt at lappe ældre Samba-versioner.
Dette hul gør det muligt for en hacker at uploade et delt bibliotek til en skrivbare drev dele. Når i, som en hacker kan gøre serveren indlæse og køre en ondsindet payload som root-brugeren. Hvilken slags nyttelast? Temmelig meget noget, der går.
At udnytte serveren ser ud til at være triviel. HD Moore, VP Research & Development på vagtselskab Atredis Partnere, hævder, “metasploit one-liner til at udløse er bare: simpel.create_pipe(“/sti/til/target.så”)
Dette fjernkørsel af programkode fejl er skræddersyet til at blive brugt af script-kiddies. Der er ikke behov for nogen mastermind hackere til at udnytte det. I en dag eller to, på de fleste, nogen vil være i stand til at bruge det.
Den sikkerhed, virksomheden Rapid7 rapporter, “internettet er ikke ild på endnu, men der er masser af potentiale for at få temmelig grim. Hvis der er en sårbar version af Samba kører på en enhed, og en ondsindet aktør har adgang til at uploade filer til denne maskine, udnyttelse, er trivielt.”
Hvor slemt er det egentlig? I et Projekt, Ekkolod, Rapid7 Labs rapporter finde mere end 104,000 internet-udsat-slutpunkter, der synes at køre sårbare versioner af Samba på port 445. “Af dem, næsten 90 procent (92,570) kører versioner, som der er i dag ingen direkte programrettelse er tilgængelig.”
Hvis du kører Samba på et Linux-eller Unix-server, du har brug for at lappe på det nu. Hvis du kører en version af Samba, der ikke er lappet endnu, opgraderer til et nyere, patched udgave så hurtigt som muligt. Hvis en eller anden grund du ikke kan gøre det enten, skal du redigere din smb.conf fil. Dette er Samba server er master-konfigurationsfil.
For at gøre dette skal du tilføje parameteren: nt pipe support = ikke til [global] – sektionen af din smb.conf og genstarte smb -, Samba-dæmonen. Dette forhindrer klienter i at få adgang til en navngivet pipe, der endepunkter og dermed gøre brug af hullet. Desværre, nulstille denne parameter kan også betydning for, hvordan Windows-klienter adgang til filer og mapper på en Samba-baseret delte drev.
Præcis hvordan? Godt spørgsmål. Vi ved det ikke endnu. Er det ikke sjovt?
Lad os dog sige at du ikke kan lappe det. Ja, de store Linux-distributioner har allerede gjort det nemt at lave dine servere. NAS-leverandører … ikke så meget.
Så hvad kan du gøre? Her er hvordan du beskytter dig selv, om du er ansvarlig for din virksomheds server farm eller du bare har en NAS med din Looney Tunes tegnefilm samling.
Første, sørg for, at ingen af dine Samba-aktier er forbudt. Ved at sætte nogen i dit netværk til at skrive til det, du også gør det muligt for dem at plante malware.
Næste, hvis du har lad folk besøger din Samba-lagring over internettet ved at holde port 445 åbn, stop det. Nu er. Blokere havnen med din firewall. Denne port skal aldrig være åben over for verden.
For nu, ingen synes at være at angribe dette hul. Jeg tror ikke et øjeblik i denne periode kommer til at vare for længe. Det er for let at angribe, og risikoen for skader er for høj. Patch det, ordne det, blokere adgangen til de uvaskede masser, at det gør hvad du kan for at beskytte din Samba-serveren i dag, eller du vil fortryde det i morgen.
Relaterede Historier:
Nye og forbedrede Samba-filserver releasedHow WannaCrypt attacksHow til at forsvare dig selv mod WannaCrypt globale ransomware angreb