Linux 系統上的“WannaCry”：你如何保護自己？

根據rapid7 文章，有一些易受攻擊的Samba版本允許在 Linux 系統上遠端執行程式碼：

雖然WannaCry勒索病毒影響了 Windows 系統並且很容易辨識，但通過明確的修復步驟，Samba漏洞將影響 Linux 和 Unix 系統，並可能對獲取或部署適當的修復措施造成重大技術障礙。

CVE-2017-7494

從 3.5.0 開始的所有版本的 Samba 都容易受到遠端程式碼執行漏洞的影響，允許惡意客戶端將共享庫上傳到可寫共享，然後導致伺服器載入並執行它。

可能的攻擊場景：

從兩個因素出發：

• 一些 Linux 發行版上的 Samba 漏洞尚未修復。
• 某些 Linux 核心版本（例如 4.8.0-41-generic Ubuntu 核心上的 CVE-2017-7308）存在未修補的本地權限提升漏洞。

攻擊者可以訪問 Linux 機器並使用本地利用漏洞提升權限以獲得 root 訪問權限並安裝可能的未來 ramsomware，類似於這個模擬 Linux 的 WannaCry ransomware 。

更新

最新文章“警告！黑客開始使用“SambaCry 漏洞”來破解 Linux 系統”展示瞭如何使用 Sambacry 漏洞感染 linux 機器。

這一預測非常準確，因為卡巴斯基實驗室的研究人員團隊建立的honeypot已經擷取了一個惡意軟體活動，該活動正在利用 SambaCry 漏洞用加密貨幣探勘軟體感染 Linux 電腦。

另一位安全研究員 Omri Ben Bassat‏ 獨立發現了相同的活動並將其命名為**“EternalMiner”**。

據研究人員稱，在 Samba 漏洞公開披露一周後，一群不知名的黑客開始劫持 Linux PC，並安裝了“CPUminer”的升級版，這是一種探勘“門羅幣”數字貨幣的加密貨幣探勘軟體。

在使用 SambaCry 漏洞破壞易受攻擊的機器後，攻擊者在目標系統上執行兩個有效負載：

INAebsGB.so — 為攻擊者提供遠端訪問的反向 shell。

cblRWuoCc.so - 一個包含加密貨幣探勘實用程序的後門 - CPUminer。

TrendLab 報告於 2017 年 7 月 18 日發布：Linux 使用者敦促更新作為新威脅利用 SambaCry

如何保護 Linux 系統以防止受到攻擊？

這個 Samba 新漏洞已經被稱為“Sambacry”，而漏洞利用本身提到了“Eternal Red Samba”，在推特上（聳人聽聞地）宣佈為：

Samba 錯誤，要觸發的 metasploit 單行程式碼就是：simple.create_pipe("/path/to/target.so")

可能受影響的 Samba 版本是從 Samba 3.5.0 到 4.5.4/4.5.10/4.4.14。

如果您的 Samba 安裝符合下面描述的配置，則應盡快完成修復/升級，因為已經存在漏洞， python和 metasploit模組中的其他漏洞。

更有趣的是，已經有來自蜜網項目的已知honeypot的附加組件，dionaea到 WannaCry 和SambaCry 外掛。

Samba cry 似乎已經被（ab）用於安裝更多的加密礦工“EternalMiner”或在未來加倍成為惡意軟體投放器。

卡巴斯基實驗室研究人員團隊建立的honeypot擷取了一個惡意軟體活動，該活動利用 SambaCry 漏洞用加密貨幣探勘軟體感染 Linux 電腦。另一位安全研究員 Omri Ben Bassat‏ 獨立發現了相同的活動並將其命名為“EternalMiner”。

在更新之前安裝了 Samba 的系統（也存在於 CVE 通知中）的建議解決方法是smb.conf：

nt pipe support = no

（並重新啟動 Samba 服務）

這應該禁用打開/關閉匿名連接到 Windows IPC 命名管道服務的能力的設置。來自man samba：

開發人員使用此全域選項來允許或禁止 Windows NT/2000/XP 客戶端能夠連接到特定於 NT 的 SMB IPC$ 管道。作為使用者，您永遠不需要覆蓋預設值。

但是從我們的內部經驗來看，該修復似乎與舊版本不兼容？Windows 版本（至少有一些？Windows 7 客戶端似乎無法與nt pipe support = no.

更具體地說，此修復禁用來自 Windows 客戶端的共享列表，如果應用，他們必須手動指定共享的完整路徑才能使用它。

其他已知的解決方法是確保使用該noexec選項安裝 Samba 共享。這將阻止執行駐留在已安裝文件系統上的二進製文件。

官方安全源程式碼更新檔來自samba.org 安全頁面。

Debian 昨天（24 月 5 日）已經推送了一個更新，以及相應的安全通知DSA-3860-1 samba

要驗證漏洞是否在 Centos/RHEL/Fedora 及其衍生版本中得到糾正，請執行以下操作：

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

現在有一個nmap檢測腳本：samba-vuln-cve-2017-7494.nse 用於檢測 Samba 版本，或者一個更好的nmap腳本來檢查該服務是否存在漏洞，位於http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve -2017-7494.nse，複製到數據庫/usr/share/nmap/scripts然後更新nmap，或者執行如下：

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

關於保護 SAMBA 服務的長期措施： 絕不應將 SMB 協議直接提供給整個 Internet。

不言而喻，SMB 一直是一個複雜的協議，這類服務應該有防火牆並限制在內部網路中

$$ to which they are being served $$. 當需要遠端訪問時，無論是對家庭還是特別是對公司網路，這些訪問應該使用 VPN 技術更好地完成。

像往常一樣，在這種情況下，僅安裝和啟動所需的最少服務的 Unix 原則確實得到了回報。

取自漏洞利用本身：

Eternal Red Samba 漏洞利用——CVE-2017-7494。

導致易受攻擊的 Samba 伺服器在根上下文中載入共享庫。

如果伺服器有來賓帳戶，則不需要憑據。

對於遠端利用，您必須對至少一個共享擁有寫權限。

Eternal Red 將掃描 Samba 伺服器以查找它可以寫入的共享。它還將確定遠端共享的完整路徑。

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

眾所周知，啟用了 SELinux 的系統不易受到攻擊。

看到7 年之久的 Samba 漏洞讓黑客可以遠端訪問數千台 Linux PC

根據 Shodan 電腦搜尋引擎，超過 ​​485,000 台啟用 Samba 的電腦在 Internet 上暴露了 445 埠，根據 Rapid7 的研究人員的說法，超過 104,000 個暴露在 Internet 的端點似乎正在執行易受攻擊的 Samba 版本，其中 92,000 個是執行不受支持的 Samba 版本。

由於 Samba 是在 Linux 和 UNIX 系統上實現的 SMB 協議，因此有專家稱它是 WannaCry 勒索軟體使用的“Linux 版本的 EternalBlue”。

…或者我應該說 SambaCry？

考慮到易受攻擊的系統的數量和利用此漏洞的難易程度，Samba 漏洞可以通過可蠕蟲功能被大規模利用。

具有網路附加儲存 (NAS) 設備的家庭網路

$$ that also run Linux $$也可能容易受到此缺陷的影響。

另請參閱Samba 中潛伏了 7 年的可蠕蟲程式碼執行錯誤。馬上打更新檔！

這個長達七年的漏洞，索引為 CVE-2017-7494，只要滿足幾個條件，就可以通過一行程式碼可靠地利用來執行惡意程式碼。這些要求包括易受攻擊的電腦：

(a) 使文件和列印機共享埠 445 可在 Internet 上訪問，

(b) 將共享文件配置為具有寫入權限，以及

(c) 對這些文件使用已知或可猜測的伺服器路徑。

當滿足這些條件時，遠端攻擊者可以上傳他們選擇的任何程式碼並讓伺服器執行它，可能具有不受限制的 root 權限，具體取決於易受攻擊的平台。

鑑於漏洞利用的簡單性和可靠性，這個漏洞值得盡快堵塞。攻擊者開始主動瞄準它可能只是時間問題。

Also Rapid 7 - 在 Samba 中修補 CVE-2017-7494：這是生命的循環

還有更多SambaCry：WannaCry 的 Linux 續集。

需要知道的事實

CVE-2017-7494 的 CVSS 得分為 7.5 (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)3。

威脅範圍

shodan.io 查詢“port:445 !os:windows”顯示大約一百萬個非 Windows 主機有 tcp/445 對 Internet 開放，其中一半以上存在於阿拉伯聯合酋長國 (36%) 和美國（16%）。雖然其中許多可能正在執行修補版本，具有 SELinux 保護，或者不符合執行漏洞利用的必要標準，但此漏洞的可能攻擊面很大。

PS SAMBA github 項目中的送出修復似乎是送出02a76d86db0cbe79fcaf1a500630e24d961fa149

引用自：https://unix.stackexchange.com/questions/367138