web-dev-qa-db-fra.com

"WannaCry" sur les systèmes Linux: comment vous protégez-vous?

Selon n article rapide7 il existe des versions Samba vulnérables permettant une exécution de code à distance sur les systèmes Linux:

Alors que le ransomworm WannaCry a affecté les systèmes Windows et était facilement identifiable, avec des étapes de correction claires, le Samba la vulnérabilité affectera les systèmes Linux et Unix et pourrait présenter des obstacles techniques importants à l'obtention ou au déploiement de mesures correctives appropriées.

CVE-2017-7494

Toutes les versions de Samba à partir de la version 3.5.0 sont vulnérables à une vulnérabilité d'exécution de code à distance, permettant à un client malveillant de télécharger une bibliothèque partagée sur un partage accessible en écriture, puis de charger et d'exécuter le serveur.

Scénario d'attaque possible:

Partant des deux facteurs:

  • La vulnérabilité Samba n'est pas corrigée pour l'instant sur certaines distributions Linux.
  • Il existe une vulnérabilité d'élévation des privilèges locaux non corrigée sur certaines versions du noyau Linux (par exemple, CVE-2017-7308 sur le noyau Ubuntu générique 4.8.0-41).

Un attaquant peut accéder à une machine Linux et élever ses privilèges en utilisant une vulnérabilité d'exploitation locale pour accéder à la racine et installer un futur ramsomware possible, similaire à cette maquette WannaCry ransomware for Linux .

Mise à jour

Un nouvel article "Attention! Les pirates ont commencé à utiliser" SambaCry Flaw "pour pirater les systèmes Linux" montre comment utiliser la faille Sambacry pour infecter une machine Linux.

La prédiction s'est révélée assez précise, car les pots de miel mis en place par l'équipe de chercheurs de Kaspersky Lab ont capturé une campagne de logiciels malveillants qui exploite la vulnérabilité de SambaCry pour infecter les ordinateurs Linux avec un logiciel d'exploration de crypto-monnaie.

Un autre chercheur en sécurité, Omri Ben Bassat, a découvert indépendamment la même campagne et l'a nommée "EternalMiner" .

Selon les chercheurs, un groupe inconnu de pirates informatiques a commencé à détourner des PC Linux une semaine seulement après la divulgation publique de la faille Samba et à installer une version améliorée de "CPUminer", un logiciel d'exploration de crypto-monnaie qui exploite la monnaie numérique "Monero".

Après avoir compromis les machines vulnérables à l'aide de la vulnérabilité SambaCry, les attaquants exécutent deux charges utiles sur les systèmes ciblés:

INAebsGB.so - Un shell inversé qui fournit un accès à distance aux attaquants.

cblRWuoCc.so - Une porte dérobée qui inclut des utilitaires d'extraction de crypto-monnaie - CPUminer.

Rapport TrendLab publié le 18 juillet 2017: Les utilisateurs Linux sont invités à se mettre à jour en tant que nouvelle menace exploitant SambaCry

Comment sécuriser un système Linux pour éviter d'être attaqué?

73
GAD3R

Cette nouvelle vulnérabilité de Samba est déjà appelée "Sambacry", tandis que l'exploit lui-même mentionne "Eternal Red Samba", annoncé sur Twitter (sensationnellement) comme:

Bug Samba, le one-liner metasploit à déclencher est juste: simple.create_pipe ("/ path/to/target.so")

Les versions de Samba potentiellement affectées sont de Samba 3.5.0 à 4.5.4/4.5.10/4.4.14.

Si votre installation Samba répond aux configurations décrites ci-dessous, la correction/mise à niveau doit être effectuée dès que possible car il existe déjà exploits , autre exploit en python et metasploit = modules là-bas.

Plus intéressant encore, il existe déjà des modules complémentaires pour un pot de miel connu du projet honeynet , dionaea à la fois pour WannaCry et plug-ins SambaCry .

Le cri de Samba semble déjà être (ab) utilisé pour installer plus de crypto-mineurs "EternalMiner" ou doubler comme un compte-gouttes de malware à l'avenir .

les pots de miel mis en place par l'équipe de chercheurs de Kaspersky Lab ont capturé une campagne de malware qui exploite la vulnérabilité de SambaCry pour infecter les ordinateurs Linux avec un logiciel d'exploration de crypto-monnaie. Un autre chercheur en sécurité, Omri Ben Bassat, indépendamment découvert la même campagne et l'a nommée "EternalMiner".

La solution de contournement conseillée pour les systèmes sur lesquels Samba est installé (qui est également présente dans l'avis CVE) avant de le mettre à jour, ajoute à smb.conf:

nt pipe support = no

(et redémarrage du service Samba)

Ceci est censé désactiver un paramètre qui active/désactive la possibilité d'établir des connexions anonymes aux fenêtres IPC service de canaux nommé. From man samba:

Cette option globale est utilisée par les développeurs pour autoriser ou interdire aux clients Windows NT/2000/XP la possibilité d'établir des connexions avec des canaux spécifiques à NT SMB IPC $. En tant qu'utilisateur, vous ne devriez jamais avoir besoin de remplacer la valeur par défaut.

Cependant, d'après notre expérience interne, il semble que le correctif ne soit pas compatible avec les anciens? Versions Windows (au moins certaines? Les clients Windows 7 ne semblent pas fonctionner avec le nt pipe support = no), et en tant que tel, la voie de correction peut aller dans des cas extrêmes à l'installation ou même à la compilation de Samba.

Plus précisément, ce correctif désactive la liste des partages des clients Windows et, s'il est appliqué, ils doivent spécifier manuellement le chemin complet du partage pour pouvoir l'utiliser.

Une autre solution connue consiste à s'assurer que les partages Samba sont montés avec l'option noexec. Cela empêchera l'exécution de binaires résidant sur le système de fichiers monté.

Le correctif officiel du code source de sécurité est ici à partir de la page de sécurité de samba.org .

Debian a déjà lancé hier (24/5) une mise à jour et l'avis de sécurité correspondant DSA-3860-1 samba

Pour vérifier si la vulnérabilité est corrigée dans Centos/RHEL/Fedora et ses dérivés, procédez comme suit:

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

Il existe maintenant un script de détection nmap: samba-vuln-cve-2017-7494.nse pour détecter les versions de Samba, ou un script nmap bien meilleur qui vérifie si le service est vulnérable sur http://seclists.org/nmap-dev/2017/q2/att -110/samba-vuln-cve-2017-7494.nse , copiez-le dans /usr/share/nmap/scripts, puis mettez à jour la base de données nmap ou exécutez-la comme suit:

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

À propos des mesures à long terme pour protéger le service SAMBA: Le protocole SMB ne doit jamais être proposé directement à Internet en général.

Il va également sans dire que SMB a toujours été un protocole compliqué, et que ce type de services devrait être protégé par un pare-feu et limité aux réseaux internes [auxquels ils sont servis].

Lorsqu'un accès à distance est nécessaire, à la maison ou spécialement aux réseaux d'entreprise, ces accès devraient être mieux effectués en utilisant la technologie VPN.

Comme d'habitude, dans ces situations, le principe Unix consistant à installer et à activer uniquement les services minimaux requis est payant.

Tiré de l'exploit lui-même:

Exploit d'Eternal Red Samba - CVE-2017-7494.
Force le serveur Samba vulnérable à charger une bibliothèque partagée dans le contexte racine.
Les informations d'identification ne sont pas requises si le serveur possède un compte invité.
Pour l'exploit à distance, vous devez avoir des autorisations d'écriture sur au moins un partage.
Eternal Red analysera le serveur Samba pour les partages sur lesquels il peut écrire. Il déterminera également le chemin complet du partage distant.

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

Il est également connu que les systèmes avec SELinux activé ne sont pas vulnérables à l'exploit.

Voir ne faille de Samba de 7 ans permet aux pirates d'accéder à des milliers de PC Linux à distance

Selon le moteur de recherche informatique Shodan, plus de 485 000 ordinateurs compatibles Samba ont exposé le port 445 sur Internet, et selon les chercheurs de Rapid7, plus de 104 000 points de terminaison exposés sur Internet semblaient exécuter des versions vulnérables de Samba, dont 92 000 sont exécuter des versions non prises en charge de Samba.

Étant donné que Samba est le protocole SMB implémenté sur les systèmes Linux et UNIX, certains experts disent qu'il s'agit de la "version Linux d'EternalBlue", utilisée par le ransomware WannaCry.

... ou devrais-je dire SambaCry?

En gardant à l'esprit le nombre de systèmes vulnérables et la facilité d'exploitation de cette vulnérabilité, la faille Samba pourrait être exploitée à grande échelle avec des capacités de ver.

Les réseaux domestiques avec des périphériques de stockage en réseau (NAS) [qui exécutent également Linux] pourraient également être vulnérables à cette faille.

Voir aussi n bug d'exécution de code wormable se cache dans Samba depuis 7 ans. Patch maintenant!

La faille de sept ans, indexée sous le nom CVE-2017-7494, peut être exploitée de manière fiable avec une seule ligne de code pour exécuter du code malveillant, tant que quelques conditions sont remplies. Ces exigences incluent les ordinateurs vulnérables qui:

a) rendre le port de partage de fichiers et d'imprimantes 445 accessible sur Internet,
(b) configurer les fichiers partagés pour avoir des privilèges d'écriture, et
(c) utiliser des chemins de serveur connus ou devinables pour ces fichiers.

Lorsque ces conditions sont remplies, les attaquants distants peuvent télécharger le code de leur choix et forcer le serveur à l'exécuter, éventuellement avec des privilèges root illimités, selon la plate-forme vulnérable.

Compte tenu de la facilité et de la fiabilité des exploits, ce trou mérite d'être bouché le plus tôt possible. Ce n'est probablement qu'une question de temps avant que les attaquants ne commencent à le cibler activement.

Aussi Rapid 7 - Patching CVE-2017-7494 in Samba: It's the Circle of Life

Et plus SambaCry: la suite Linux de WannaCry .

Faits à connaître

CVE-2017-7494 a un score CVSS de 7,5 (CVSS: 3,0/AV: N/AC: H/PR: L/UI: N/S: U/C: H/I: H/A: H) 3.

Portée des menaces

Une requête shodan.io de "port: 445! Os: windows" montre environ un million d'hôtes non Windows qui ont tcp/445 ouvert à Internet, dont plus de la moitié aux Emirats Arabes Unis (36%) et aux États-Unis (16%). Bien que beaucoup d'entre eux puissent exécuter des versions corrigées, avoir des protections SELinux ou ne pas répondre aux critères nécessaires pour exécuter l'exploit, la surface d'attaque possible pour cette vulnérabilité est grande.

P.S. Le correctif de validation dans le projet github SAMBA semble être la validation 2a76d86db0cbe79fcaf1a500630e24d961fa149

101
Rui F Ribeiro

La plupart d'entre nous qui exécutons des serveurs Samba là-bas le font probablement à l'intérieur de réseaux locaux, derrière des pare-feu et n'exposent pas ses ports directement au monde extérieur.

Ce serait une pratique affreuse si vous le faisiez, et inexcusable lorsqu'il existe des solutions VPN simples, efficaces et gratuites (comme dans la bière et dans la parole) comme OpenVPN. SMB n'a pas été conçu avec Internet ouvert à l'esprit (diable, TCP/IP est même venu après coup dans ce protocole) et devrait être traité comme tel. Une suggestion supplémentaire consiste à exécuter des règles de pare-feu sur le fichier réel partage l'hôte qui ne met en liste blanche que les adresses réseau locales (et éventuellement VPN) sur tous les ports SMB (139/TCP, 445/TCP, 137/UDP et 138/UDP).

De plus, si votre cas d'utilisation le permet, vous devriez envisager d'exécuter Samba sans privilèges (comme, par exemple, samba utilisateur qui n'est pas un alias de root). Je comprends qu'il n'est pas si facile de marier les limitations des ACL NT avec les ACL POSIX avec cette configuration, mais s'il est possible de le faire dans votre configuration particulière, c'est la voie à suivre.

Enfin, même avec un tel "verrouillage", il est toujours conseillé d'appliquer un correctif si vous le pouvez (car il y a NAS boîtes là-bas où cela pourrait ne pas être faisable), et de tester si votre particulier le cas d'utilisation fonctionne avec nt pipe support défini sur no.

21
Bojan Markovic