Критическая уязвимость SambaCry: как защититься

^[1]

В популярном пакете для создания сетевых дисков на различных ОС Samba обнаружена критическая уязвимость, позволяющая удаленно получать контроль над Linux и Unix-системами. Ошибка просуществовала 7 лет — уязвимости CVE-2017-7494 подвержены все версии пакета, начиная с Samba 3.5.0, который вышел 1 марта 2010 года. Сегодня мы поговорим о том, как защититься от этой уязвимости.

Возможные последствия эксплуатации

Описания уязвимости публиковали на Хабре ^[2] (также опубликован ^[3] код эксплоита ), поэтому не будем останавливаться на этом подробно. Достаточно сказать, что по данным ^[4] поисковой системы Shodan в настоящий момент из интернета доступны более 485 000 тысяч компьютеров, использующих Samba. Исследователи из Rapid7 оценили ^[5] долю доступных извне уязвимых систем в 104 000, из них 92 000 компьютеров используют неподдерживаемые версии Samba.

Эта масштабная проблема затрагивает, в том числе, NAS-серверы Synology:

Уязвимы также большое количество маршрутизаторов и NAS компании Netgear, которая опубликовала по этому поводу собственный бюллетень безопасности ^[9].

Масштаб проблемы позволил эксперту по безопасности компании Cisco Крейгу Уильямсу (Craig Williams) заявить об угрозе того, что уязвимость CVE-2017-7494 спровоцирует «первую масштабную эпидемию атак червей-вымогателей на Linux-системы».

Во многих домашних роутерах Samba используется для организации общего доступа к USB-устройствам — причем, как правило в таких случаях таким девайсам открываются права на запись. Поэтому, если производители сетевого оборудования в своих прошивках использовали уявзимую версию Samba, то это открывает широкие возможности по проведению атак, например, для создания ботнетов.

Как защититься

Разработчики Samba сообщили об устранении уязвимости в последних версиях пакета (4.6.4/4.5.10/4.4.14) — пользователям рекомендуется как можно скорее установить патч ^[10]. В том случае, если переход на более свежую версию пакета невозможен, создатели продукта рекомендуют внести изменения в конфигурационный файл smb.conf, добавив в секцию [global] строку:

nt pipe support = no

После этого следует перезапустить демон SMB (smbd). Эти изменения заблокируют возможность полного доступа клиентов к сетевым машинам и ограничат функциональность подключенных Windows-систем. Позднее были опубликованы патчи ^[11] и для более старых версий Samba.

Заблокировать возможность осуществления атаки можно с помощью политик SELinux — к примеру, конфигурация RHEL по-умолчанию не позволяет злоумышленникам эксплуатировать уязвимость в Samba.

Компания GuardiCore разработала скрипт ^[12] для выявления атаки — для его скачивания необходимо заполнить форму на сайте.

В свою очередь эксперты Positive Technologies создали сигнатуру Suricata, которая позволяет выявлять попытки эксплуатации уязвимости CVE-2017-7494 в Samba:

Кроме того, для снижения рисков успешной атаки с помощью этой ошибки специалисты компании рекомендуют устанавливать общим папкам права лишь на чтение, но не на запись файлов (о том, как это сделать, можно прочитать в этой инструкции ^[19]). Найти все сетевые папки с правами на запись может быть непросто — для этого следует использовать, например, инструмент nmap. Увидеть все «шары» с правами на запись можно с помощью следующей команды (смотреть нужно в Current user access):

nmap --script smb-enum-shares.nse -p445 <host> 

Кроме того, рекомендуется проанализировать права доступа к сетевым папкам, оставив права на чтение и запись из них только для определенных доверенных пользователей с помощью контрольных списков ^[20].

Автор: ptsecurity

Источник ^[21]