L’altra settimana, Microsoft ha avuto la sua sicurezza denti a calci in quando un vecchio SMB buco di sicurezza è stata sfruttata dal WannaCry ransomware attacco. Questa settimana, è il turno di Samba, il popolare open source server SMB.
Come il WannaCry foro di sicurezza, la buona notizia è che il Samba di condivisione di file di bug è già stato risolto. La cattiva notizia è che si può essere utilizzando Samba senza saperlo. In questo caso, potrebbe non essere possibile per voi di patch.
Dove? Come? Se si dispone di un network attached storage (NAS) dispositivo di tenere i vostri conti da pagare, archivi di documenti, o semplicemente il vostro bambino maturità foto, le probabilità sono che si sta eseguendo Samba, open-source di file server e server di stampa. E ‘ comunemente usato in questi dispositivi, e le aziende che li fanno non sono noti per rammendare i loro sistemi in modo semplice, o, talvolta, a tutti.
Peggio ancora, il foro, CVE-2017-7494, è di sette anni. Il bug risale al Samba 3.5.0, che è stato rilasciato il 10 Marzo 2010. Tutte le versioni da allora-ripeto, tutte le versioni, compresa l’ultima, 4.6.4, sono vulnerabili a questo tipo di vulnerabilità esecuzione di codice remoto.
Le cattive notizie non si fermano qui. Mentre Samba 4.6.4, 4.5.10, e 4.4.14 sono state emesse le releases di sicurezza per correggere il difetto, è necessario eseguire manualmente la patch precedenti versioni Samba.
Questo foro consente a un utente malintenzionato di caricare una libreria condivisa, di una unità scrivibile condividere. Una volta, un hacker è in grado di rendere il server di caricare ed eseguire un payload dannoso come utente root. Che tipo di payload? Praticamente qualsiasi cosa va.
Sfruttando il server sembra essere banale. HD Moore, vice president Ricerca & Sviluppo di società di sicurezza Atredis Partner, sostiene “metasploit one-liner di trigger è solo: semplice.create_pipe(“/percorso/del/target.così”)
Questa esecuzione remota di codice difetto è fatta su misura per essere utilizzato da script-kiddies. Non c’è nessun bisogno di mastermind agli hacker di sfruttare. In un giorno o due, al massimo, chiunque sarà in grado di usarlo.
La società di sicurezza Rapid7 riporta che “internet non è a fuoco, ma c’è un sacco di potenziale per ottenere abbastanza brutto. Se c’è una versione vulnerabile di Samba in esecuzione su un dispositivo, e un dannoso attore ha accesso a caricare i file per la macchina, lo sfruttamento è banale.”
Quanto male è davvero? In un Progetto Sonar, Rapid7 Laboratori di rapporti di ricerca di oltre 104.000 internet esposti gli endpoint che sembrano essere in esecuzione versioni vulnerabili di Samba sulla porta 445. “Di questi, quasi il 90 per cento (92,570) eseguono versioni per i quali non è attualmente diretto patch disponibile.”
Se si sta eseguendo Samba su un server Linux o Unix, è necessario applicare la patch ora. Se si sta eseguendo una versione di Samba che non è di patch di sicurezza, l’aggiornamento a una versione più recente, patch edizione il più presto possibile. Se per qualche motivo non è possibile farlo, è necessario modificare il tuo smb.file conf. Questo è il Samba server master file di configurazione.
Per fare questo, aggiungere il parametro: nt pipe support = no per la sezione [global] di piccole e medie imprese.conf e riavviare smbd, il demone Samba. Questo impedisce l’accesso dei client qualsiasi named pipe endpoint e rendendo l’utilizzo dei fori. Purtroppo, la reimpostazione di questo parametro può anche influenzare il modo in cui i client Windows di accedere a file e directory su un basato su Samba unità condivisa.
Esattamente come? Buona domanda. Non sappiamo ancora. Non è divertente?
Diciamo però che non è possibile applicare la patch. Sì, i grandi distributori di Linux hanno già reso facile per risolvere il tuo server. I fornitori NAS … non tanto.
Così che cosa si può fare? Ecco come proteggere voi stessi se siete in carica del vostro enterprise server farm o semplicemente avere un NAS con i Loony Tunes cartoon collection.
Innanzitutto, assicurarsi che nessuno dei vostri condivisioni Samba sono pubbliche. Consentendo a chiunque sulla rete per la scrittura, si sta anche permettendo loro di piantare un malware.
A quel punto, se hai lasciato la gente a visitare il vostro Samba-storage su internet, mantenendo la porta 445 apertura, stop. Ora. Bloccare la porta con il firewall. Questa porta non deve mai essere aperto al mondo.
Per ora, sembra che nessuno sia in attacco in questo foro. Non credo che per un minuto in questo periodo di grazia andando a durare a lungo. E ‘ troppo facile attaccare e il potenziale di danno è troppo alta. La Patch, fix, bloccare l’accesso a che le masse non lavate, fate quello che potete per proteggere il vostro server Samba oggi, o te ne pentirai domani.
Storie Correlate:
Nuova e migliorata di file con Samba server releasedHow WannaCrypt attacksHow per difendersi contro il WannaCrypt globale ransomware attacco