it-swarm-ja.com

Linuxシステムの「WannaCry」:自分をどのように保護しますか?

rapid7の記事 によると、脆弱な Samba のバージョンがいくつかあり、Linuxシステムでリモートでコードを実行できます。

WannaCryランサムワームはWindowsシステムに影響を与え、簡単に識別できましたが、明確な修正手順により、Samba脆弱性はLinuxおよびUnixシステムに影響を及ぼし、適切な改善策を入手または展開するために技術的に大きな障害となる可能性があります。

CVE-2017-7494

3.5.0以降のすべてのバージョンのSambaは、リモートコード実行の脆弱性に対して脆弱であり、悪意のあるクライアントが共有ライブラリを書き込み可能な共有にアップロードし、サーバーにそれをロードして実行させる可能性があります。

考えられる攻撃シナリオ:

次の2つの要素から始めます。

  • Sambaの脆弱性 修正されていません 一部のLinuxディストリビューションではまだです。
  • 一部のLinuxカーネルバージョン(たとえば、4.8.0-41-generic UbuntuカーネルのCVE-2017-7308)には、パッチが適用されていないローカル権限昇格の脆弱性があります。

攻撃者は、ローカルのエクスプロイト脆弱性を使用してLinuxマシンにアクセスし、権限を昇格させてルートアクセスを取得し、このモックアップに似た、将来起こり得るランサムウェアをインストールすることができます WannaCry ransomware for Linux

更新

最新の記事 "警告!ハッカーが" SambaCryの欠陥 "を使用してLinuxシステムをハッキングする" Sambacryの欠陥を使用してLinuxマシンに感染させる方法を示しています。

Kaspersky Lab の研究者チームによって設定されたハニーポットが、SambaCryの脆弱性を悪用して暗号通貨マイニングソフトウェアをLinuxコンピューターに感染させるマルウェアキャンペーンを捕獲したため、予測は非常に正確であることが判明しました。

別のセキュリティ研究者、Omri Ben Bassatが同じキャンペーンを独自に発見し、それを "EternalMiner"と名付けました。

研究者によると、未知のハッカーグループが、Sambaの欠陥が公表されてからわずか1週間後にLinux PCのハイジャックを開始し、「Monero」デジタル通貨をマイニングする暗号通貨マイニングソフトウェアである「CPUminer」のアップグレードバージョンをインストールしました。

攻撃者は、SambaCryの脆弱性を利用して脆弱なマシンを侵害した後、標的のシステムで2つのペイロードを実行します。

INAebsGB.so —攻撃者へのリモートアクセスを提供する逆シェル。

cblRWuoCc.so —暗号通貨マイニングユーティリティ-CPUminerを含むバックドア。

2017年7月18日に投稿されたTrendLabレポート: LinuxユーザーがSambaCryを悪用して新しい脅威としてアップデートするように促されている

攻撃されないようにLinuxシステムを保護するにはどうすればよいですか?

73
GAD3R

このSambaの新しい脆弱性はすでに「Sambacry」と呼ばれていますが、エクスプロイト自体は「扇情的に」Twitterで発表された「Eternal Red Samba」に言及しています。

Sambaのバグ、トリガーするメタスプロイトワンライナーは次のとおりです。simple.create_pipe( "/ path/to/target.so")

影響を受ける可能性のあるSambaのバージョンは、Samba 3.5.0から4.5.4/4.5.10/4.4.14です。

Sambaのインストールが以下で説明する構成を満たしている場合、 エクスプロイト 、他の エクスプロイトpython および metasploit モジュールがあります。

さらに興味深いことに、WannaCryと SambaCryプラグイン の両方に対する honeynet プロジェクト、 dionaea から、既知のハニーポットへのアドオンがすでにあります。

Sambaの叫び声は、すでに 暗号化マイナーをインストールする "EternalMiner"または 将来的にマルウェアドロッパーとして使用される に(ab)使用されているようです。

kaspersky Labの研究者チームによって設定されたハニーポットは、SambaCryの脆弱性を悪用して、仮想通貨マイニングソフトウェアでLinuxコンピューターを感染させるマルウェアキャンペーンを捕獲しました。別のセキュリティ研究者、Omri Ben Bassatが独立して同じキャンペーンを 発見 し、「EternalMiner」と名付けました。

Sambaがインストールされているシステム(CVE通知にも記載されています)を更新する前に、回避策としてsmb.confを追加することをお勧めします。

nt pipe support = no

(そしてSambaサービスを再起動します)

これはウィンドウへの匿名接続を行う機能をオン/オフにする設定を無効にすることになっていますIPC名前付きパイプサービス。man sambaから:

このグローバルオプションは、開発者がWindows NT/2000/XPクライアントにNT固有のSMB IPC $パイプへの接続を確立する機能を許可または禁止するために使用します。ユーザーとして、デフォルトを上書きします。

しかし、私たちの内部経験から、修正は古いものと互換性がないようですか? Windowsバージョン(少なくともいくつか?Windows 7クライアントはnt pipe support = noで動作しないように見える)なので、極端な場合、修正ルートはSambaのインストールまたはコンパイルにまで及ぶ可能性があります。

具体的には、この修正により、Windowsクライアントからの共有リストが無効になり、適用される場合は、共有のフルパスを手動で指定して使用できるようになります。

その他の既知の回避策は、Samba共有がnoexecオプションでマウントされていることを確認することです。これにより、マウントされたファイルシステムにあるバイナリの実行が防止されます。

公式のセキュリティソースコードパッチは samba.orgセキュリティページここ です。

Debianはすでに昨日(24/5)にアップデートをリリースし、対応するセキュリティ通知を発表しました DSA-3860-1 samba

Centos/RHEL/Fedoraおよびその派生物で脆弱性が修正されているかどうかを確認するには、次のようにします。

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

Sambaのバージョンを検出するためのnmap検出スクリプト: samba-vuln-cve-2017-7494.nse 、またはサービスが http://seclists.org/nmap-dev/2017で脆弱であるかどうかをチェックするより優れたnmapスクリプトがあります/q2/att-110/samba-vuln-cve-2017-7494.nse 、それを/usr/share/nmap/scriptsにコピーしてからnmapデータベースを更新するか、次のように実行します。

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

SAMBAサービスを保護するための長期的な対策について:SMB=プロトコルは、インターネット全体に直接提供することはできません。

SMB=は常に複雑なプロトコルであり、これらの種類のサービスはファイアウォールで保護され、[サービスが提供されている]内部ネットワークに制限されるべきであることは言うまでもありません。

自宅または特別に企業ネットワークへのリモートアクセスが必要な場合は、VPNテクノロジを使用してこれらのアクセスを行うことをお勧めします。

いつものように、この状況では、必要な最小限のサービスのみをインストールしてアクティブにするというUnixの原則は報われます。

エクスプロイト自体から取得:

Eternal Red Samba Exploit-CVE-2017-7494。
脆弱なSambaサーバーがルートコンテキストで共有ライブラリをロードします。
サーバーにゲストアカウントがある場合、認証情報は必要ありません。
リモートエクスプロイトには、少なくとも1つの共有への書き込み権限が必要です。
Eternal RedはSambaサーバーをスキャンして、書き込み可能な共有を探します。また、リモート共有のフルパスも決定します。

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

また、SELinuxが有効になっている既知のシステムは、この攻撃に対して脆弱ではありません。

7歳のSambaの欠陥により、ハッカーが何千ものLinux PCにリモートでアクセスできる を参照

Shodanコンピュータ検索エンジンによると、485,000を超えるSamba対応コンピュータがインターネット上でポート445を公開し、Rapid7の研究者によると、インターネットに公開されたエンドポイント104,000以上がSambaの脆弱なバージョンを実行しているようです。サポートされていないバージョンのSambaを実行している。

SambaはSMBプロトコルがLinuxおよびUNIXシステムに実装されているため、WannaCryランサムウェアで使用されている「LinuxバージョンのEternalBlue」であると専門家は言っています。

...またはSambaCryと言うべきですか?

脆弱なシステムの数とこの脆弱性の悪用の容易さを念頭に置いて、Sambaの欠陥はワーム可能な機能で大規模に悪用される可能性があります。

[Linuxも実行する]ネットワーク接続ストレージ(NAS)デバイスを備えたホームネットワークもこの欠陥に対して脆弱である可能性があります。

参照 ワーム化可能なコード実行のバグが7年間Sambaに潜んでいます。今すぐパッチを適用してください!

CVE-2017-7494としてインデックス付けされた7年前の欠陥は、いくつかの条件が満たされている限り、悪意のあるコードを実行するために1行のコードで確実に悪用される可能性があります。これらの要件には、以下の脆弱なコンピューターが含まれます。

(a)インターネット上でファイルおよびプリンター共有ポート445に到達可能にする、
(b)共有ファイルを書き込み権限を持つように設定し、
(c)これらのファイルには、既知または推測可能なサーバーパスを使用します。

これらの条件が満たされると、リモートの攻撃者は選択した任意のコードをアップロードし、脆弱なプラットフォームによっては、制限のないルート権限でサーバーに実行させることができます。

エクスプロイトの容易さと信頼性を考えると、この穴はできるだけ早く差し込む価値があります。攻撃者がターゲットを積極的に狙うようになるまでは、時間の問題です。

また、 Rapid 7-SambaのCVE-2017-7494へのパッチ適用:サークルオブライフ

その他 SambaCry:The Linux Sequel to WannaCry

知っておくべき事実

CVE-2017-7494のCVSSスコアは7.5(CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)3。

脅威の範囲

"port:445!os:windows"のshodan.ioクエリは、tcp/445がインターネットに開かれている約100万の非Windowsホストを示し、その半分以上がアラブ首長国連邦(36%)に存在し、米国(16%)。これらの多くはパッチが適用されたバージョンを実行している、SELinux保護を備えている、またはエクスプロイトを実行するために必要な基準と一致していない可能性がありますが、この脆弱性に対する攻撃対象領域は大きいです。

追伸SAMBA githubプロジェクトのコミット修正はコミットのようです 2a76d86db0cbe79fcaf1a500630e24d961fa149

101
Rui F Ribeiro

Sambaサーバーを実行している私たちのほとんどは、おそらくそれをLAN内、ファイアウォールの背後で実行しており、そのポートを直接外部に公開していません。

あなたがそうするならそれはひどい慣習であり、OpenVPNのようなシンプルで効果的で無料の(ビールやスピーチのような)VPNソリューションがある場合は許されないものです。 SMBは、オープンインターネットを念頭に置いて設計されていません(つまり、TCP/IPはそのプロトコルの補足としても提供されていました)。そのように扱う必要があります。追加の提案は、実際のファイルでファイアウォールルールを実行することですすべてのローカル(および最終的にはVPN)ネットワークアドレスのみをホワイトリストに登録する共有ホストSMBポート(139/TCP445/TCP137/UDPおよび138/UDP)。

また、ユースケースが許す場合は、Sambaを非特権で実行することを検討する必要があります(たとえば、sambaのエイリアスではないrootユーザーとして)。この設定では、NT ACLの制限とPOSIX ACLの制限を組み合わせるのはそれほど簡単ではないことを理解していますが、特定の設定でそれが可能であれば、それで問題ありません。

最後に、そのような「ロックダウン」があっても、可能な場合はパッチを適用し(NASそこにそれができない可能性があるため))、特定のかどうかをテストすることをお勧めしますユースケースはnt pipe supportnoに設定します。

21
Bojan Markovic