De andere week, Microsoft heeft zijn beveiliging tanden begon als een oude SMB gat in de beveiliging werd geëxploiteerd door de WannaCry ransomware aanvallen. Deze week is het de beurt aan Samba, de populaire open-source SMB-server.
Als de WannaCry gat in de beveiliging, het goede nieuws is dat de Samba file-sharing bug al verholpen zijn. Het slechte nieuws is dat je kan worden met behulp van Samba zonder het te weten. In dit geval kan er geen manier voor u te patchen.
Waar? Hoe? Als u een network-attached storage-apparaat (NAS) het houden van uw rekeningen te betalen, document, archief, of gewoon je kind de middelbare school afstuderen, foto ‘ s, is de kans groot dat je Samba draait, de open-source file en print server. Het is vaak gebruikt in deze apparaten, en de leveranciers die hen zijn niet bekend voor het patchen van hun systemen, snel, of soms helemaal.
Erger nog, het gat, CVE-2017-7494, is zeven jaar oud. De bug dateert van Samba 3.5.0, die werd uitgebracht op Maart 10, 2010. Alle versies sindsdien is — ik herhaal, alle versies, inclusief de nieuwste, 4.6.4, zijn kwetsbaar voor deze uitvoering van externe code kwetsbaarheid.
Het slechte nieuws is nog niet alles. Terwijl Samba 4.6.4, 4.5.10 en 4.4.14 zijn uitgegeven, zoals beveiligingsupdates om de juiste defect is, moet u handmatig patch oudere Samba versies.
Dit gat kan een aanvaller het uploaden van een gedeelde bibliotheek met een beschrijfbare schijf te delen. Eens in, een hacker kan de belasting van de server en het uitvoeren van een kwaadaardige lading als de root gebruiker. Wat voor soort lading? Vrijwel alles gaat.
Het benutten van de server lijkt triviaal. HD Moore, vice-president Research & Development bij beveiligingsbedrijf Atredis Partners, claims “metasploit one-liner te activeren is eenvoudig.create_pipe(“/pad/naar/doel.dus:’)
Dit tot uitvoering van externe code fout is op-maat-gemaakt om te worden gebruikt door het script-kiddies. Er is geen behoefte aan een mastermind hackers te exploiteren. In een dag of twee, hooguit iemand in staat zal zijn om het te gebruiken.
Het beveiligingsbedrijf Rapid7 rapporten, “het internet is niet in brand, maar er is een groot potentieel voor het krijgen behoorlijk vervelend. Als er sprake is van een kwetsbare versie van Samba wordt uitgevoerd op een apparaat, en een kwaadaardige acteur heeft toegang tot de bestanden uploaden naar die machine, exploitatie is triviaal.”
Hoe erg is het eigenlijk? In een Project Sonar, Rapid7 Labs verslagen vinden van meer dan 104,000 internet blootgesteld eindpunten die lijken te worden uitgevoerd kwetsbare versies van de Samba op poort 445. “Van de bijna 90 procent (92,570) zijn versies voor wat er is momenteel geen directe patch beschikbaar is.”
Als je Samba draait op een Linux-of Unix-server, moet u de patch nu. Als u werkt met een versie van de Samba die niet gepatched nog, upgraden naar een nieuwere, herstelde editie zo snel mogelijk. Als u om een bepaalde reden niet kan doen, moet u uw smb.conf bestand. Dit is de Samba server master configuratie bestand.
Om dat te doen, voeg de parameter: nt-pipe support = geen aan de [global] sectie van uw kmo.conf smbd start, de Samba daemon. Dit voorkomt dat cliënten toegang hebben tot een named pipe eindpunten en dus gebruik te maken van het gat. Helaas, het opnieuw instellen van deze parameter kan ook gevolgen hebben voor de werking van Windows-clients toegang tot bestanden en mappen op een Samba-op basis van de gedeelde schijf.
Hoe het precies in? Goede vraag. We weten het nog niet. Is dat niet leuk?
Laten we zeggen dat u het niet kan patchen. Ja, de grote Linux-distributeurs reeds hebben het gemakkelijk gemaakt voor het repareren van uw servers. De NAS-leveranciers … niet zo veel.
Dus wat kan je doen? Hier is hoe om jezelf te beschermen of u bent zelf verantwoordelijk voor uw onderneming server farm of heb je gewoon een NAS met uw Looney Tunes cartoon collectie.
Eerste, zorg ervoor dat geen van uw Samba-shares zijn openbaar. Doordat iedereen op uw netwerk te schrijven, bent u ook in staat stellen om de plant malware.
Daarna, als je hebt laten mensen een bezoek aan uw Samba-opslag via het internet door het houden van poort 445 open, stop het. Nu is. Blokkeren van de haven met de firewall. Deze poort moet nooit te openen voor de wereld.
Voor nu, niemand lijkt te zijn aanvallende dit gat. Ik geloof niet dat voor een minuut van deze periode van uitstel gaat duren lang. Het is te gemakkelijk om aan te vallen en de mogelijke schade is te hoog. Patch it, fix it, het blokkeren van toegang tot de ongewassen massa ‘ s, doen wat je kunt om te beschermen uw Samba-server vandaag, of je spijt van krijgen morgen.
Verwante Artikelen:
Nieuwe en verbeterde Samba file server releasedHow WannaCrypt attacksHow om jezelf te verdedigen tegen de WannaCrypt global ransomware aanvallen
Verwante Onderwerpen
Veiligheid, Tech Industrie, Cloud, Enterprise Software, het Internet van de Dingen, Mobiliteit