В популярном пакете для создания сетевых дисков на различных ОС Samba обнаружена критическая уязвимость, позволяющая удаленно получать контроль над Linux и Unix-системами. Ошибка просуществовала 7 лет — уязвимости CVE-2017-7494 подвержены все версии пакета, начиная с Samba 3.5.0, который вышел 1 марта 2010 года. Сегодня мы поговорим о том, как защититься от этой уязвимости.
Возможные последствия эксплуатации
Описания уязвимости публиковали на Хабре (также опубликован код эксплоита ), поэтому не будем останавливаться на этом подробно. Достаточно сказать, что по данным поисковой системы Shodan в настоящий момент из интернета доступны более 485 000 тысяч компьютеров, использующих Samba. Исследователи из Rapid7 оценили долю доступных извне уязвимых систем в 104 000, из них 92 000 компьютеров используют неподдерживаемые версии Samba.
Эта масштабная проблема затрагивает, в том числе, NAS-серверы Synology:
Уязвимы также большое количество маршрутизаторов и NAS компании Netgear, которая опубликовала по этому поводу собственный бюллетень безопасности.
Масштаб проблемы позволил эксперту по безопасности компании Cisco Крейгу Уильямсу (Craig Williams) заявить об угрозе того, что уязвимость CVE-2017-7494 спровоцирует «первую масштабную эпидемию атак червей-вымогателей на Linux-системы».
Во многих домашних роутерах Samba используется для организации общего доступа к USB-устройствам — причем, как правило в таких случаях таким девайсам открываются права на запись. Поэтому, если производители сетевого оборудования в своих прошивках использовали уявзимую версию Samba, то это открывает широкие возможности по проведению атак, например, для создания ботнетов.
Как защититься
Разработчики Samba сообщили об устранении уязвимости в последних версиях пакета (4.6.4/4.5.10/4.4.14) — пользователям рекомендуется как можно скорее установить патч. В том случае, если переход на более свежую версию пакета невозможен, создатели продукта рекомендуют внести изменения в конфигурационный файл smb.conf, добавив в секцию [global] строку:
nt pipe support = noПосле этого следует перезапустить демон SMB (smbd). Эти изменения заблокируют возможность полного доступа клиентов к сетевым машинам и ограничат функциональность подключенных Windows-систем. Позднее были опубликованы патчи и для более старых версий Samba.
Заблокировать возможность осуществления атаки можно с помощью политик SELinux — к примеру, конфигурация RHEL по-умолчанию не позволяет злоумышленникам эксплуатировать уязвимость в Samba.
Компания GuardiCore разработала скрипт для выявления атаки — для его скачивания необходимо заполнить форму на сайте.
В свою очередь эксперты Positive Technologies создали сигнатуру Suricata, которая позволяет выявлять попытки эксплуатации уязвимости CVE-2017-7494 в Samba:
Кроме того, для снижения рисков успешной атаки с помощью этой ошибки специалисты компании рекомендуют устанавливать общим папкам права лишь на чтение, но не на запись файлов (о том, как это сделать, можно прочитать в этой инструкции). Найти все сетевые папки с правами на запись может быть непросто — для этого следует использовать, например, инструмент nmap. Увидеть все «шары» с правами на запись можно с помощью следующей команды (смотреть нужно в Current user access):
nmap --script smb-enum-shares.nse -p445 <host> Кроме того, рекомендуется проанализировать права доступа к сетевым папкам, оставив права на чтение и запись из них только для определенных доверенных пользователей с помощью контрольных списков.
Комментарии (18)
NoRegrets
26.05.2017 18:22-3из интернета доступны более 485 000 тысяч компьютеров, использующих Samba
ССЗБ
как защититься
снести самбуNoRegrets
26.05.2017 23:45+2Я все понимаю, задеты чувства верующих в самбу, только зачем в карму то срать? Минусовать много ума не надо, а возразить слабо?
Расскажите минусующие, по первому пункту, зачем вы самбу шарите в интернет? Это форма эксгибиционизма такая? И по второму пункту, расскажите, зачем самба на сервере и сколько критических уязвимостей в ней нашли за последнее время.
dead_man_2000
28.05.2017 15:32Наверно потому что отключить что-то много ума не надо, а заставить работать другое дело
tankistua
28.05.2017 15:32Просто иногда есть такое слово — надо, а если в сетке рабочие станции на виндах, то самый удобный вариант — это самба.
А Вы написали фигню, без предложений по выходу из сложившейся ситуации
NoRegrets
28.05.2017 22:19+1Имхо, обмен файлами и файлопомойки на smb ушли в прошлое лет 10 назад. Файлопомойка на самбе — это признак не настроенного делопроизводства в конторе. Впрочем, даже в таких конторах, сейчас, сидящие на расстоянии вытянутой руки люди, передают файлы через облака, ерп, мыло, мессенджеры и прочую вебню.
Возможность каждому шарить файлы всем в офисе приводит к тому, что у каждого набирается файлопомойка. Еще к этим файлопомойкам добавляется общая файловая помойка на сервере, куда складывают уже все. В итоге, обычно, когда нужен какой-то документ, его даже не ищут, а просят выложить того, у кого он есть и тот создает еще одну копию этого файла в своей файлопомойке и отправляет ссылку попросившему. Когда начинается какая-то вирусная эпидемия, она поражает половину сети, потому что вирус копирует себя во все шары и дебилы сами запускают вирус на своих машинах. Про то, что в сети всем доступна хренова туча документов, я даже не говорю. Я описываю ситуацию, которая была типичной для офисов 10 летней давности. Сейчас админов таких офисов поувольняли, новые поставили какой-никакой ERP софт и живут без таких проблем.
Поэтому, мое предложение — удалить самбу с сервера и как-то уже автоматизировать делопроизводство. Ну а с теми, кто догадался высунуть самбу в интернет — они должны получить урок, вот и все.
Я написал коротко и максимально конструктивно. Но у владельцев собственных файлопомоек с кламавом, настроенных по мануалам 20 летней давности, бомбануло.
SlavikF
26.05.2017 21:52Кстати, Synology уже (25 мая) выкатила патч:
https://www.synology.com/en-us/releaseNote/DS412+
snovazabilparol
28.05.2017 15:32+1Интересно было-бы услышать хоть пару слов о том, какие модели домашних роутеров подвержены этой опасности.
А то получается SkyNet какой-то, вирус который проникает на любую систему на любом устройстве (а ведь Китайцы умудряются впихнуть все что можно и нельзя, в том числе и smb в свои IP-чайники, кофеварки и камеры).
higin
28.05.2017 15:32+2Я понимаю когда у обычного пользователя не хватает знаний и он выставляет
голую жопу на морозsamba на улицу. Samba используется в локальных сетях. Почему провайдер не блокирует 445 порт из интернета? Может еще broadcast в интернет выпустить? Куда катится мир…
danzealzer
29.05.2017 05:04Провайдер не должен решать за клиента, что может торчать наружу, а что — нет. Максимум, настойчиво предупредить, что де есть такая проблема с тем-то и тем-то. А вот производители железа могли бы нарисовать политику усложнения шаринга того или иного протокола на WAN-портах, чтобы только опытные «эникейщики» смогли с первого раза завести «nfs/ssh/rdp/smb… etc» наружу.
higin
29.05.2017 16:50Оно им надо (производителям)? Они иной раз свои баги годами не исправляют. Чем сложнее настройка, тем меньше потенциальных покупателей (Ход мыслей: Настройка сложная… Куплю по проще, заодно экономия на опытном «эникейщике»!).
Regis
WannaCry + SambaCry = ?
Ждем червя, который умеет внедряться в Win и *nix и распространяться с обоих.
XogN
И называть его будут Cross-platformCry