Die andere Woche, Microsoft hat seinen security Zähne getreten, wenn eine alte SMB-Sicherheitslücke ausgenutzt wurde, die durch die WannaCry ransomware-Attacke. Diese Woche ist es der Wende des Samba, der beliebten open-source SMB-server.
Wie die WannaCry Sicherheitslücke, die gute Nachricht ist, dass die Samba-file-sharing-der Fehler wurde bereits behoben. Die schlechte Nachricht ist, Sie können verwenden von Samba ohne es zu wissen. In diesem Fall gibt es möglicherweise keinen Weg, für Sie zu patchen.
Wo? Wie? Wenn Sie ein network-attached storage (NAS) – Gerät, halten Sie Ihre Kreditoren -, Dokumenten-Archive, oder einfach nur Ihr Kind das Abitur Fotos, sind die Chancen, Sie mit Samba, die open-source-file-und print-server. Es ist allgemein in diesen Geräten verwendet wird, und die Lieferanten, die Sie sind nicht bekannt für das patchen Ihre Systeme schnell, oder manchmal auf allen.
Schlimmer noch, das Loch, CVE-2017-7494, ist sieben Jahre alt. Der Fehler geht zurück auf Samba 3.5.0-veröffentlicht am März 10, 2010. Alle Versionen seit damals-ich wiederhole, alle Versionen, einschließlich der neuesten, 4.6.4, sind anfällig für diese Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen.
Die schlechte Nachricht ist noch nicht alles. Während Samba 4.6.4, 4.5.10, und 4.4.14 ausgestellt worden sind, als Sicherheits-releases um den defekt zu beheben, müssen Sie manuell patch älteren Samba-Versionen.
Dieses Loch ermöglicht es einem Angreifer zum hochladen einer shared-library auf einem beschreibbaren Laufwerk freigeben. Einmal in, kann ein hacker den server laden und ausführen eine bösartige Nutzlast als root-Benutzer. Welche Nutzlast? So ziemlich alles geht.
Nutzung der server scheint zu trivial. HD Moore, VP Research & Development bei security-Unternehmen Atredis Partner, Ansprüche “metasploit one-liner zum auslösen ist einfach: einfach.create_pipe(“/path/to/target.so”)
Diese remote-code-execution-Schwachstelle ist maßgeschneidert, um verwendet werden, die von script-kiddies. Es gibt keine Notwendigkeit für eine mastermind Hacker, es zu nutzen. In ein oder zwei Tage, höchstens, wer in der Lage, es zu benutzen.
Das security-Unternehmen Rapid7 berichtet, “das internet ist nicht auf Feuer noch, aber es gibt eine Menge Potenzial für Sie zu bekommen, ziemlich böse. Wenn eine anfällige version von Samba ausgeführt wird, auf einem Gerät, und ein bösartiger Akteur hat Zugang zum hochladen von Dateien auf dieser Maschine, Ausbeutung ist trivial.”
Wie schlimm ist es wirklich? In einem Projekt Sonar, Rapid7 Labs meldet die Entdeckung mehr als 104,000 internet-exponierte Endpunkte, zu sein scheinen anfälliger Versionen von Samba auf port 445. “Von denen sind fast 90 Prozent (92,570) ausgeführt werden, die Versionen, für die es derzeit keinen direkten patch zur Verfügung.”
Wenn Sie Samba auf einem Linux-oder Unix-server, müssen Sie es patchen jetzt. Wenn Sie eine Samba-version, die ist nicht gepatcht noch, ein upgrade auf eine neuere, gepatchte edition so bald wie möglich. Wenn aus irgendeinem Grund Sie können nicht tun, entweder, Sie Bearbeiten müssen Sie Ihrer smb.conf-Datei. Dies ist der Samba server der master-Konfigurationsdatei.
Um das zu tun, fügen Sie den parameter: nt-pipe support = no , um den Abschnitt [global] Ihrer smb.conf und starten Sie smbd, der Samba-daemon. Dies verhindert, dass clients den Zugriff auf alle named pipe-Endpunkten und damit die Nutzung der Bohrung. Leider ist das zurücksetzen dieser parameter kann auch Auswirkungen, wie Windows-clients den Zugriff auf Dateien und Verzeichnisse auf einem Samba-basierten freigegebenen Laufwerk.
Wie genau? Gute Frage. Das wissen wir noch nicht. Ist das nicht lustig?
Lassen Sie uns aber sagen, Sie können keinen patch. Ja, die großen Linux-Distributoren haben bereits gemacht, es einfach zu beheben Ihren Servern. Der NAS-Anbieter … nicht so viel.
Also, was können Sie tun? Hier ist, wie um sich selbst zu schützen, ob Sie die Verantwortung für Ihr enterprise-server-farm oder Sie haben einfach nur eine NAS mit Ihrem cartoon “Loony Tunes” – collection.
Erstens, stellen Sie sicher, dass keiner Ihrer Samba-Freigaben öffentlich sind. Durch die Aktivierung jeder in Ihrem Netzwerk zu schreiben, Sie ermöglicht Ihnen auch, um Schadsoftware.
Weiter, wenn Sie haben, lassen Sie die Menschen besuchen, die Ihre Samba-Speicher über das internet zu halten-port 445 öffnen, es zu stoppen. Nun. Blockieren Sie den port mit der firewall. Dieser port sollte niemals offen sein für die Welt.
Für jetzt, niemand scheint zu greifen, das Loch. Ich glaube nicht für eine minute, diese Zeit der Gnade wird für lange dauern. Es ist zu leicht angreifbar, und das potential für Schaden ist zu hoch. Patch-it, fix it, blockieren Sie den Zugriff auf die ungewaschenen Massen, das tun, was Sie können, um schützen Sie Ihre Samba-server heute, oder du wirst es bereuen morgen.
Verwandte Geschichten:
Neue und verbesserte Samba-Datei-server releasedHow WannaCrypt attacksHow, sich zu verteidigen gegen die WannaCrypt globalen ransomware Angriff