Po WannaCry vážna zraniteľnosť aj v Sambe, linuxovej implementácii SMB

Značky: bezpečnosťLinux

DSL.sk, 25.5.2017

Krátko po červe WannaCry zneužívajúcom chybu v implementácii protokolu SMB pre sieťové zdieľanie priečinkov vo Windows bola identifikovaná vážna zraniteľnosť aj v populárnej linuxovej a unixovej implementácii SMB umožňujúcej zdieľanie súborov cez sieť kompatibilné s Windows, Samba.

Zraniteľnosť

Zraniteľnosť s prideleným identifikátorom CVE-2017-7494 umožňuje útočníkovi nahrať na server alebo PC so zdieľaním súborov zabezpečeným Sambou dynamickú knižnicu so škodlivým kódom a zabezpečiť jej spustenie. Na viacerých platformách to môže byť s root oprávneniami a teda získaním úplnej kontroly nad počítačom.

Včerajšie oznámenie tvorcov Samby je ale pomerne stručné a detailné vysvetlenie okolností chýba.

Ako potvrdzuje ale oznámenie Red Hatu, chyba nespočíva v získaní samotného prístupu a útočník musí mať práva do niektorého adresára cez Sambu zapisovať, aby mohol útok uskutočniť.

Zraniteľné sú všetky verzie od 3.5.0 vydanej v marci 2010.

Odporúčania

Tvorcovia samozrejme s oznámením vydali pre podporované verzie opravené verzie 4.6.4, 4.5.10 a 4.4.14, pre ostatné sú k dispozícii záplaty. Hlavným odporúčaním je tak inštalovať opravené verzie, pričom samozrejme opravené verzie už sprístupňujú aj jednotlivé linuxové distribúcie.

Na počítačoch a zariadeniach, pre ktoré nie je k dispozícii opravená verzia, je možné zneužitiu zraniteľnosti zabrániť pridaním "nt pipe support = no" do sekcie [global] konfiguračného súboru smb.conf a samozrejme s následným reštartom Samby.

Keďže podľa dostupných informácií sú nutným predpokladom práva k zápisu súborov cez Sambu, zabrániť zneužitiu je možné aj nakonfigurovaním Samby tak, aby prístup na zápis mali len dôveryhodné osoby a vyžadoval vždy autentifikáciu. Či je možné zraniteľnosť zneužiť aj cez anonymný prístup explicitne oznámenia nepotvrdzujú, vhodné je ale odstrániť prípadné priečinky zdieľané s právom zápisu pre anonymných neautentifikovaných užívateľov.

Samba je využívaná samozrejme nielen na serveroch a osobných počítačoch s Linuxom ale aj na rozličných špecializovaných zariadeniach bežiacich na Linuxe, napríklad v mnohých NAS-och ale tiež domácich routeroch. V ich prípade je potrebné skontrolovať dostupnosť aktualizácií a prípadne uskutočniť niektoré z vyššie popísaných konfiguračných opatrení.

Porovnanie s WannaCry

Zraniteľnosť má podobne ako zraniteľnosť vo Windows využívaná červom WannaCry potenciál na vytvorenie červa, keď k zneužitiu nie je potrebná súčinnosť užívateľa a infikovaný počítač môže rovnako útočiť ďalej na iné počítače.

Podľa dostupných informácií je ale efektívnosť v prípade Samby limitovaná, keď nutným predpokladom útoku sú existujúce práva na zápis do niektorého zdieľaného priečinku. Aj za predpokladu, že je útok možné realizovať cez zdieľané priečinky umožňujúce verejný prístup, tieto pravdepodobne nie sú prítomné v každej inštalácii Samby. Na akej časti sú prítomné nie je jasné.

Pre porovnanie s WannaCry, na každom PC s Windows je prístup cez SMB štandardne povolený a zraniteľný tak bol automaticky každý počítač s Windows, ktorý nemal nainštalované potrebné aktualizácie. V prípade Linuxu a Samby to neplatí, v niektorých distribúciách Samba nie je ani automaticky aktívna alebo dokonca inštalovaná.

Nutným predpokladom u Samby rovnako ako u zraniteľnosti vo Windows je samozrejme priamy sieťový prístup útočníka na port 445. Štatistiky Rapid7 ale ukazujú, že na verejných internetových adresách je prístupnejších menej zariadení s otvoreným prístupom na 445 so zraniteľnou verziou Samby ako to bolo v prípade Windows, podľa skenu Rapid7 to bolo včera len niečo viac cca 104 tisíc.

Celkovo je tak potenciál novej zraniteľnosti v Sambe na vytvorenie červa asi menší ako v prípade zraniteľností využitých vo WannaCry, efektívny červ by napriek tomu ale mohol vzniknúť a užívateľom je odporúčané čo najskôr svoje zariadenia zabezpečiť.




Najnovšie články:



Diskusia:

instal what Od: Kamikaze1 | Pridané: 25.5.2017 10:00 Install arch? Odpovedať Známka: 3.8 Hodnotiť:

Re: instal what Od: Aladin Fik | Pridané: 25.5.2017 10:05 debian Odpovedať Známka: 0.0 Hodnotiť:

Re: instal what Od reg.: Bytrit | Pridané: 25.5.2017 10:06 No neviem či zrovna debian https://goo.gl/jAV3L9 Odpovedať Známka: -1.4 Hodnotiť:

Re: instal what Od: Aladin Fik | Pridané: 25.5.2017 10:26 Hej hej - Debian. Je najlepsi - dokazy tu, tu a tu... Odpovedať Známka: 3.3 Hodnotiť:

Re: instal Od: Windows jedine offline | Pridané: 25.5.2017 20:18 Nie všetko funguje na každej distribúcii Linux. Červ čoby fungoval na každej verzii Linuxu by bol zázrak. Odpovedať Známka: 3.3 Hodnotiť:

Re: instal what Od: nomi | Pridané: 25.5.2017 12:34 to si dal rok 2016, 2017 - http://dopice.sk/jEJ Odpovedať Hodnotiť:

Re: instal what Od reg.: Bytrit | Pridané: 25.5.2017 12:37 v poriadku ale stále tam má z tých distier najviac Odpovedať Hodnotiť:

Re: instal what Od: quix_ | Pridané: 25.5.2017 17:10 :D trololo a videl si aka cast z tych bugov je mimo systemu ako takeho? su tam bugy v kadejakych python libkach alebo inych srandickach, ktore v podstatnej vacsine desktopovych/serverovych instalacii ani nemas. z pochopitelnych dovodov, debian je najvacsia linuxova distribucia co sa balickov tyka, je ich aj najviac v nej hlasenych. su to teda aj bugy upstreamove. preto napriklad taky arch alebo redhat v takom zastupeni nebudu. nastastie debianie distribucie na rozdiel od redhat based distier podla mojich skusenosti pri zapnutych unattended security updatoch sluzby aj restartuju takze ti nebezi zranitelna sluzba aj po aplikovani zaplaty dalej. Debian ftw! All hail Ian! Odpovedať Známka: 10.0 Hodnotiť:

Re: instal what Od: sensei-san | Pridané: 26.5.2017 8:13 Ja si myslím, že vďaka WSL ( https://msdn.microsoft.com/commandline/wsl ) by sa to malo rátať ako bugy Windowsu ;-) Odpovedať Hodnotiť:

Re: instal what Od reg.: cca01 | Pridané: 26.5.2017 9:29 Ked das statistiku, musis aj vediet ako ju interpretovat. Inak je to iba kopa cisel. Tato statistika napr. nezahrna to, ako dlho tam ta zranitelnost bola kym ju opravili, kolko pocitacov je nou ohrozenych a aka je miera zavaznosti... Odpovedať Hodnotiť:

Re: instal what Od: dufus | Pridané: 25.5.2017 12:20 na minte sa mi už včera aktualizovala samba Odpovedať Známka: 4.3 Hodnotiť:

..... Od: 1337 | Pridané: 25.5.2017 10:09 Install win95 Odpovedať Známka: -0.9 Hodnotiť:

Re: ..... Od: Koumak | Pridané: 25.5.2017 10:38 win3.11 WfW Odpovedať Známka: -1.1 Hodnotiť:

Re: ..... Od reg.: cca01 | Pridané: 26.5.2017 9:29 Alebo DOS 3, bez TCP IP protokolu. Odpovedať Hodnotiť:

BLEM. Od: No jasne | Pridané: 25.5.2017 10:29 Fak.A teraz čo,bsd?Ta už nevidím inú možnosť než analýzu internetového spojenia bit po bite.Len ktorý softvér to zvládne? Odpovedať Známka: 3.8 Hodnotiť:

Re: BLEM. Od: kernel_panic | Pridané: 25.5.2017 10:38 A teraz sup sup, zapnut a nastavit firewall, ak nahodou nemas. Navod ako na to mas tu, tu a tu Odpovedať Známka: 5.6 Hodnotiť:

Re: BLEM. Od: No jasne | Pridané: 25.5.2017 10:40 :) No commment :) Odpovedať Známka: -2.0 Hodnotiť:

Re: BLEM. Od: gogo2 | Pridané: 25.5.2017 10:40 bsd na router a normalne nastavit firewall (vo firme na vzdialeny pristup pouzit vpn) Odpovedať Známka: 7.1 Hodnotiť:

Re: BLEM. Od: quix_ | Pridané: 25.5.2017 17:11 <troll>bsd na router mm to budu mat v nsa radost :)</troll> Odpovedať Známka: 10.0 Hodnotiť:

Re: BLEM. Od: kernel_panic | Pridané: 25.5.2017 21:32 Co preco ? Pouzivam OPNsense, to ma freebsd jadro. Mam sa zacat bat ? Odpovedať Hodnotiť:

uff ff Od: frflee3415 | Pridané: 25.5.2017 11:05 Ani si nechcem predstavit co by nastalo ak by operatori davali domacnostiam verejne IP adresy pri tom, ako sa rozsirili NAS, vychatrale spotrebice a tlaciarne s pristupom do siete. Odpovedať Známka: 3.3 Hodnotiť:

Re: uff ff Od: m__ | Pridané: 25.5.2017 11:08 iba jedno slovo: IPv6 Odpovedať Známka: 7.6 Hodnotiť:

Re: uff ff Od: frflee3415 | Pridané: 25.5.2017 11:12 a pomohlo by to nejak v ich zabezpeceni? Odpovedať Známka: -3.3 Hodnotiť:

Re: uff ff Od: Koumak | Pridané: 25.5.2017 11:18 on tym myslel, ze pri IPv6 ma kazde zariadenie verejnu IP, tam sa nerobi uz NAT ako pri IPv4 a preto je len na pripadnom modeme, ci ma zabudovany firewall, alebo na konkretnom zariadeni/OS, ci ma dostatocnu vlastnu ochranu (firewall), resp. nema pootvarane vsetky dvere dokoran... Odpovedať Známka: 10.0 Hodnotiť:

Re: uff ff Od: frflee3415 | Pridané: 25.5.2017 11:25 vdaka za vysvetlenie :) Odpovedať Hodnotiť:

Re: uff ff Od: martiiiiiinHK | Pridané: 25.5.2017 11:20 Nie, ale bolo by to modernejsie ako IPv4. Odpovedať Známka: 10.0 Hodnotiť:

Re: uff ff Od: Koumak | Pridané: 25.5.2017 11:30 Telekom v datacentre housingu na BA-Varsavska nevie poskytnut IPv6, takze to este dlho potrva, nez sa dockame tejto inovacie v realnom nasadeni... mozno raz moje deti sa dockaju ;) Odpovedať Hodnotiť:

Re: uff ff Od: BaGoLo | Pridané: 25.5.2017 11:43 obecne vraj virtualizované infraštruktúry ešte majú dosť problém s IPv6 Odpovedať Hodnotiť:

Re: uff ff Od: [Jooky] | Pridané: 25.5.2017 12:16 T-Systems ma vo vsetkych datacentrach primarne IPv6, takze je dost divne, ze Telekom v Ba ma len IPv4 ... Odpovedať Hodnotiť:

Re: uff ff Od: koumak | Pridané: 25.5.2017 18:11 Davali sme uz 2x poziadavku, vzdy negativna odpoved. Predpokladal som, ze ked nas tam vydurili z datacentra na Jarosovej, tak to tam bude tip-top, ale akosi chybicka se vloudila. Mozno hladaju admina, co im to tam dokaze riadne nakonfigurovat, aby dokazali poskytovat redundantne okruhy pri IPv4+IPv6 konektivite v jednom pripojnom bode. Odpovedať Hodnotiť:

Re: uff ff Od: dziny1 | Pridané: 25.5.2017 14:05 Mam par vitualnych serverov a vacsina z lepsich hostingov (v zahranici) ma funkcne ipv6. Takze to vyzera ze telekom je trocha pozadu. Odpovedať Známka: 10.0 Hodnotiť:

Re: uff ff Od: quix_ | Pridané: 25.5.2017 17:12 no jo, v telekome su vzdy trochu pozadu.. Odpovedať Známka: 10.0 Hodnotiť:

Re: uff ff Od: t-com | Pridané: 25.5.2017 12:19 ano, mohol by si kontrolovat, co robi brutusko. Odpovedať Známka: 7.1 Hodnotiť:

Re: uff ff Od: lixkonaut | Pridané: 25.5.2017 17:25 Ja mám verejnú "dynamickú" (rozumej za rok a pol sa nezmenila) IP od môjho ISP. IPčka samozrejme smeruje na router, kde treba ďalej nastaviť port forwarding. Ja som nesmierne rád za také riešenie, môžem sa pripojiť na počítač/server/NAS/mobil/tablet odkiaľkoľvek. Kto si otvorí port na nezabezpečené zariadenie, koleduje si o problémy. Odpovedať Známka: 5.0 Hodnotiť:

Re: uff ff Od: dando1111111 | Pridané: 27.5.2017 11:53 keby si nemal v hlave nasrane tak rozlisujes otvoreny port a otvorene vsetky porty. ked otvoris port aj na nezabezpecenom zariadeni tak utocnik musi najst dieru v softweri vyuzivajucim konkretny port. napr. ak otvorim port 3333 tak moze mat pc aj zranitelnu sambu, lebo utocnik sa na jej port nedostane Odpovedať Hodnotiť:

Re: uff ff Od reg.: roob_ | Pridané: 25.5.2017 19:42 ale oni davaju verejne IP adresy.. synology ma dnes update DSM, ale to zrejme este nebude to, lebo zatial avizuju len opravu CVE-2017-7308, cize v najblizsich dnoch bude dalsi updare... a btw. na synology quickconnect nepotrebujes verejnu ip.. Odpovedať Hodnotiť:

Re: uff ff Od reg.: roob_ | Pridané: 26.5.2017 14:35 takze este v dany den odstranena CVE-2017-7494. Sikovni chlapci v tom synology... Odpovedať Hodnotiť:

Re: uff ff Od: Good Guy Capitalism | Pridané: 26.5.2017 7:37 Verejná IP nie je problém, sám ju mám. Problém je domáci router, defaultne prístupný z internetu, so zapnutým SSH (bez zmeneného hesla), ktorý okamžite otvorí port pre každú chujovinu čo sa ti doma pripojí na sieť... Odpovedať Hodnotiť:

Re: uff ff Od: dando1111111 | Pridané: 27.5.2017 11:54 ked mas v hlave nasrane tak ti nikto nepomoze Odpovedať Hodnotiť:

este ze Od: jancici | Pridané: 25.5.2017 11:40 este ze to nepouzivam ;-) to windows zdielanie nefunguje poriadne ani medzi windowz PC. naco to pchat na linuxy??? uz davnejsie pouzivam syncthing, kompletne to synchronizuje adresar, ked si to clovek dobre premysli tak je to vlemi sikovne, dobry clanok je tuto http://www.abclinuxu.cz/clanky/syncthing Odpovedať Známka: -2.0 Hodnotiť:

Re: este ze Od: trololoman | Pridané: 25.5.2017 11:52 Pekne. Ja pouzivam na NAS-e lsyncd, a toto vyzera byt nieco take ako hodne vylepseny lsyncd with many features. Odpovedať Hodnotiť:

Re: este ze Od: qwertyz | Pridané: 25.5.2017 12:21 nemam NAS, len NOS. Odpovedať Známka: 10.0 Hodnotiť:

Re: este ze Od reg.: Bytrit | Pridané: 25.5.2017 12:27 Ahahaha haha ha ha... Odpovedať Známka: 2.0 Hodnotiť:

Re: este ze Od: duke3d | Pridané: 25.5.2017 12:39 nesmej sa, lebo ak nemas zaplatu, tak mas aj ty NOS - network opened storage :) Odpovedať Známka: 6.7 Hodnotiť:

Re: este ze Od: lixkonaut | Pridané: 25.5.2017 17:27 SMB funguje na Linuxe naozaj krásne, podporujú ju všelijaké mobilné prehrávače, je to relatívne rýchle... Odpovedať Hodnotiť:

Re: este ze Od: ja. | Pridané: 25.5.2017 22:02 Syncthing na androide je dobre naprd, nedokaze zosynchronizovat DCIM adresar na SD-karte. Zamer bol zosynchronizovat foto na vsetkych zariadeniach a este mat aj zalohu na serveri. No, nevydalo :(. Kedze to nie je nativna androidova aplikacia, ale portable go aplikacia zabalena vo wrapperi, nevie si od systemu vypytat prava na pracu s sd kartou. Tym padom je to nepouzitelne. Odpovedať Hodnotiť:

samba ! Od: pingmeter | Pridané: 25.5.2017 12:05 https://www.youtube.com/watch?v=RzBv397zGic Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár