Τις τελευταίες εβδομάδες, η Microsoft άρχισε να διαθέτει απανωτές ενημερώσεις ασφαλείας, για μια παλιά ευπάθεια του SMB από την επίθεση ransomware WannaCry. Στις δημοσιεύσεις μας διαπιστώσαμε ότι υπήρχαν πολλοί που ανέφεραν περήφανα σε σχόλια στο Facebook, ή στο site, ότι το θέμα δεν τους αφορά γιατί χρησιμοποιούν Linux…
Αυτή την εβδομάδα λοιπόν, ήρθε η σειρά του Samba, του δημοφιλούς SMB server ανοιχτού κώδικα.
Tα καλά νέα είναι βέβαια ότι το σφάλμα στην κοινή χρήση αρχείων μέσω του Samba έχει ήδη διορθωθεί. Τα κακά νέα είναι ότι ίσως χρησιμοποιείτε το Samba χωρίς να το γνωρίζετε. Σε αυτήν την περίπτωση, μπορεί να μην υπάρχει τρόπος να διορθώσετε την ευπάθεια.
Που? Πως? Εάν έχετε μια συσκευή αποθήκευσης συνδεδεμένη στο δίκτυο (NAS) για αποθήκευση των αρχείων σας, έγγραφα, πληρωμένους λογαριασμούς, ή τις οικογενειακές σας φωτογραφίες, είναι πιθανό να τρέχετε το Samba, τον open-source file και print server. Χρησιμοποιείται συνήθως σε αυτές τις συσκευές και οι εταιρείες που τις κατασκευάζουν δεν είναι γνωστές για την ταχεία ενημέρωσή τους. Μερικές φορές δεν το κάνουν και καθόλου…
Εδώ θα πρέπει να αναφέρουμε ότι το κενό ασφαλείας CVE-2017-7494, υπάρχει ήδη εδώ και επτά χρόνια. Το σφάλμα ξεκίνησε να υπάρχει από το Samba 3.5.0, το οποίο κυκλοφόρησε στις 10 Μαρτίου του 2010. Όλες οι εκδόσεις από τότε (ναι όλες οι εκδόσεις) συμπεριλαμβανομένης και της τελευταίας, 4.6.4, είναι ευάλωτες σε αυτό το σφάλμα που δίνει απομακρυσμένη πρόσβαση εκτέλεσης κώδικα στους εισβολείς.
Τα κακά νέα δεν σταματούν εδώ. Ενώ έχουν ήδη κυκλοφορήσει οι εκδόσεις Samba 4.6.4, 4.5.10 και 4.4.14 σαν εκδόσεις ασφαλείας για να διορθώσουν το πρόβλημα, θα πρέπει να διορθώσετε με μη αυτόματο τρόπο τις παλαιότερες εκδόσεις του Samba.
Το κενό στην ασφάλεια της εφαρμογής επιτρέπει σε έναν εισβολέα να φορτώσει μια κοινόχρηστη βιβλιοθήκη σε ένα εγγράψιμο κοινόχρηστο στοιχείο του δίσκου. Μόλις εισέλθει ο havker μπορεί να τρέξει τον server και να εκτελέσει τουλάχιστον ένα κακόβουλο αρχείο σαν root.
Το exploit του διακομιστή φαίνεται να είναι ασήμαντο. Η HD Moore, VP Research & Development στην εταιρία ασφάλειας Atredis Partners, ισχυρίζεται ότι το “metasploit one-liner to trigger” είναι απλό: simple.create_pipe(“/path/to/target.so”)
Αυτό το σφάλμα έχει προσαρμοστεί σε εργαλεία και μπορεί να να χρησιμοποιηθεί άνετα και από script-kiddies.
Η εταιρεία ασφαλείας Rapid7 αναφέρει ότι “το διαδίκτυο δεν έχει πάρει φωτιά ακόμα, αλλά υπάρχουν οι προδιαγραφές να ξεκινήσει κάτι πολύ μεγάλο”.
Πόσο επικίνδυνο είναι πραγματικά;
Σε ένα Project Sonar της Rapid7 Labs η εταιρεία αναφέρει ότι βρέθηκαν πάνω από 104.000 endpoints εκτεθειμένα στο διαδίκτυο και φαίνεται ότι τρέχουν ευάλωτες εκδόσεις του Samba στη θύρα 445. “Από αυτά σχεδόν το 90% (92.570) εκτελούν εκδόσεις για τις οποίες δεν υπάρχει επί του παρόντος κανένα patch άμεσα διαθέσιμο.”
Εάν εκτελείτε Samba σε διακομιστή Linux ή Unix, θα πρέπει να το διορθώσετε τώρα. Αν τρέχετε κάποια έκδοση του Samba που δεν έχει ενημερωθεί, αναβαθμίστε τη σε μια πιο πρόσφατη το συντομότερο δυνατό. Αν για κάποιο λόγο δεν μπορείτε να το κάνετε, θα πρέπει να επεξεργαστείτε το αρχείο smb.conf, το κύριο αρχείο διαμόρφωσης του διακομιστή Samba.
Για να το κάνετε αυτό, προσθέστε την παράμετρο:
nt pipe support = no
στην ενότητα [global] του smb.conf και κάντε επανεκκίνηση στο smbd, του Samba daemon. Αυτό θα εμποδίσει τα clients να έχουν πρόσβαση σε αναγνωρίσιμα pipe endpoints και έτσι δεν θα μπορούν να κάνουν χρήση της ευπάθειας. Δυστυχώς, αυτή η παραμέτρος μπορεί να επηρεάσει τον τρόπο με τον οποίο έχουν πρόσβαση σε αρχεία ή φακέλους οι υπολογιστές-clients με Windows σε μια κοινόχρηστη μονάδα που βασίζεται σε Samba.
Ας πούμε όμως ότι δεν μπορείτε να το διορθώσετε. Ναι οι σημαντικότεροι διανομείς Linux δίνουν δικαιώματα επιδιόρθωσης των διακομιστών σας. Οι πωλητές NAS όμως;
Τι μπορείτε να κάνετε; Πώς μπορείτε να προστατευτείτε αν είστε υπεύθυνος για το server farm της επιχείρησής σας ή απλώς διαθέτετε ένα NAS;
Αρχικά, βεβαιωθείτε ότι κανένα από τα share toy Samba δεν είναι δημόσιο. Αν δώσετε δικαιώματα εγγραφής σε οποιονδήποτε στο δίκτυό σας, επιτρέπετε να εγκαταστήσουν κακόβουλα προγράμματα.
Έπειτα, αν έχετε δώσει πρόσβαση σε χρήστες του Samba-storage να το επισκέπτονται μέσω του διαδικτύου κρατώντας τη θύρα 445 ανοιχτή, σταματήστε το άμεσα. Τώρα. Αποκλείστε τη θύρα άμεσα με το τείχος προστασίας που χρησιμοποιείτε.