В популярном пакете для создания сетевых дисков на различных ОС Samba обнаружена критическая уязвимость, позволяющая удаленно получать контроль над Linux и Unix-системами. Ошибка просуществовала 7 лет — уязвимости CVE-2017-7494 подвержены все версии пакета, начиная с Samba 3.5.0, который вышел 1 марта 2010 года. Сегодня мы поговорим о том, как защититься от этой уязвимости.
Возможные последствия эксплуатации
Описания уязвимости публиковали на Хабре (также опубликован код эксплоита ), поэтому не будем останавливаться на этом подробно. Достаточно сказать, что по данным поисковой системы Shodan в настоящий момент из интернета доступны более 485 000 тысяч компьютеров, использующих Samba. Исследователи из Rapid7 оценили долю доступных извне уязвимых систем в 104 000, из них 92 000 компьютеров используют неподдерживаемые версии Samba.
Эта масштабная проблема затрагивает, в том числе, NAS-серверы Synology:
Уязвимы также большое количество маршрутизаторов и NAS компании Netgear, которая опубликовала по этому поводу собственный бюллетень безопасности.
Масштаб проблемы позволил эксперту по безопасности компании Cisco Крейгу Уильямсу (Craig Williams) заявить об угрозе того, что уязвимость CVE-2017-7494 спровоцирует «первую масштабную эпидемию атак червей-вымогателей на Linux-системы».
Во многих домашних роутерах Samba используется для организации общего доступа к USB-устройствам — причем, как правило в таких случаях таким девайсам открываются права на запись. Поэтому, если производители сетевого оборудования в своих прошивках использовали уявзимую версию Samba, то это открывает широкие возможности по проведению атак, например, для создания ботнетов.
Как защититься
Разработчики Samba сообщили об устранении уязвимости в последних версиях пакета (4.6.4/4.5.10/4.4.14) — пользователям рекомендуется как можно скорее установить патч. В том случае, если переход на более свежую версию пакета невозможен, создатели продукта рекомендуют внести изменения в конфигурационный файл smb.conf, добавив в секцию [global] строку:
nt pipe support = no
После этого следует перезапустить демон SMB (smbd). Эти изменения заблокируют возможность полного доступа клиентов к сетевым машинам и ограничат функциональность подключенных Windows-систем. Позднее были опубликованы патчи и для более старых версий Samba.
Заблокировать возможность осуществления атаки можно с помощью политик SELinux — к примеру, конфигурация RHEL по-умолчанию не позволяет злоумышленникам эксплуатировать уязвимость в Samba.
Компания GuardiCore разработала скрипт для выявления атаки — для его скачивания необходимо заполнить форму на сайте.
В свою очередь эксперты Positive Technologies создали сигнатуру Suricata, которая позволяет выявлять попытки эксплуатации уязвимости CVE-2017-7494 в Samba:
Кроме того, для снижения рисков успешной атаки с помощью этой ошибки специалисты компании рекомендуют устанавливать общим папкам права лишь на чтение, но не на запись файлов (о том, как это сделать, можно прочитать в этой инструкции). Найти все сетевые папки с правами на запись может быть непросто — для этого следует использовать, например, инструмент nmap. Увидеть все «шары» с правами на запись можно с помощью следующей команды (смотреть нужно в Current user access):
nmap --script smb-enum-shares.nse -p445 <host>
Кроме того, рекомендуется проанализировать права доступа к сетевым папкам, оставив права на чтение и запись из них только для определенных доверенных пользователей с помощью контрольных списков.
Автор: ptsecurity