सांबा की इस नई भेद्यता को पहले ही "सांबाश्री" कहा जा रहा है, जबकि शोषण में "अनन्त लाल सांबा" का उल्लेख है, जो ट्विटर पर सनसनीखेज रूप से घोषित है:
सांबा बग, मेटास्प्लोइट वन-लाइनर को ट्रिगर करने के लिए बस है: simple.create_pipe ("/ path / to / target.so")
संभावित रूप से प्रभावित सांबा संस्करण सांबा 3.5.0 से 4.5.4 / 4.5.10 / 4.4.14 तक हैं।
यदि आपका सांबा इंस्टॉलेशन बोल्ड वर्णित कॉन्फ़िगरेशन को पूरा करता है, तो फिक्स / अपग्रेड एएसएपी किया जाना चाहिए क्योंकि पहले से ही कारनामे हैं , अजगर और
मेटास्प्लोइट मॉड्यूल में अन्य शोषण ।
अधिक दिलचस्प रूप से पर्याप्त है, पहले से ही हनीपोट प्रोजेक्ट से एक हनीपोट के लिए ऐड-ऑन हैं , डायनाए दोनों से वन्नाक्र्री और सांबैरी प्लग-इन ।
सांबा का रोना पहले से ही लग रहा है (अब) भविष्य में मैलवेयर ड्रॉपर के रूप में अधिक क्रिप्टो-माइनर्स "इटरनमाइनर" या डबल डाउन स्थापित करने के लिए उपयोग किया जाता है ।
Kaspersky Lab के शोधकर्ताओं की टीम द्वारा स्थापित हनीपोट्स ने एक मैलवेयर अभियान पर कब्जा कर लिया है, जो क्रिप्टोकरेंसी माइनिंग सॉफ़्टवेयर के साथ लिनक्स कंप्यूटरों को संक्रमित करने के लिए SambaCry भेद्यता का शोषण कर रहा है। एक अन्य सुरक्षा शोधकर्ता, ओमरी बेन बसाट ने स्वतंत्र रूप से एक ही अभियान की खोज की और इसे "इटरनमाइनर" नाम दिया।
इसे अपडेट करने से पहले स्थापित सांबा (जो सीवीई नोटिस में भी मौजूद है) के साथ सिस्टम के लिए अनुशंसित वर्कअराउंड में जोड़ा जा रहा है smb.conf:
nt pipe support = no
(और सांबा सेवा को फिर से शुरू करना)
यह एक ऐसी सेटिंग को निष्क्रिय करने के लिए माना जाता है जो पाइपों की सेवा नाम वाली विंडोज़ आईपीसी के लिए अनाम कनेक्शन बनाने की क्षमता को चालू / बंद करता है। से man samba:
यह वैश्विक विकल्प विंडोज़ एनटी / 2000 / एक्सपी ग्राहकों को एनटी-विशिष्ट एसएमबी आईपीसी $ पाइप से कनेक्शन बनाने की क्षमता को रोकने या अस्वीकार करने के लिए डेवलपर्स द्वारा उपयोग किया जाता है। एक उपयोगकर्ता के रूप में, आपको डिफ़ॉल्ट को ओवरराइड करने की आवश्यकता नहीं होनी चाहिए।
हालांकि हमारे आंतरिक अनुभव से, ऐसा लगता है कि फिक्स पुराने के साथ संगत नहीं है? विंडोज संस्करण (कम से कम कुछ? विंडोज 7 क्लाइंट के साथ काम नहीं करने लगते हैं nt pipe support = no), और इस तरह के उपचारात्मक मार्ग सांबा को स्थापित करने या यहां तक कि संकलित करने के चरम मामलों में जा सकते हैं।
अधिक विशेष रूप से, यह विंडोज क्लाइंट से शेयर लिस्टिंग को अक्षम करता है, और यदि लागू किया जाता है तो उन्हें इसका उपयोग करने में सक्षम होने के लिए मैन्युअल रूप से शेयर का पूरा पथ निर्दिष्ट करना होगा।
अन्य ज्ञात समाधान यह सुनिश्चित करने के लिए है कि सांबा शेयरों को noexecविकल्प के साथ मुहिम की जाती है। यह माउंटेड फाइल सिस्टम पर रहने वाले बायनेरिज़ के निष्पादन को रोक देगा।
आधिकारिक सुरक्षा स्रोत कोड पैच samba.org सुरक्षा पृष्ठ से यहां है ।
डेबियन ने पहले ही कल (24/5) को दरवाजे से एक अपडेट बाहर धकेल दिया, और इसी सुरक्षा सूचना डीएसए -3860-1 सांबा
यह सत्यापित करने के लिए कि क्या सेंटोस / आरएचईएल / फेडोरा में भेद्यता सही है और व्युत्पन्न करते हैं:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
अब एक nmapडिटेक्शन स्क्रिप्ट है: samba-vuln-cve-2017-7494.nse सांबा संस्करणों का पता लगाने के लिए, या एक बहुत बेहतर nmapस्क्रिप्ट जो जाँचती है कि क्या सेवा http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve पर असुरक्षित है -2017-7494.nse , इसे कॉपी करें /usr/share/nmap/scriptsऔर फिर nmapडेटाबेस को अपडेट करें, या इसे निम्नानुसार चलाएं:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
एसएएमबीए सेवा की रक्षा के लिए दीर्घकालिक उपायों के बारे में: एसएमबी प्रोटोकॉल को कभी भी बड़े पैमाने पर इंटरनेट पर सीधे पेश नहीं किया जाना चाहिए।
यह भी बिना यह कहे चला जाता है कि एसएमबी हमेशा एक जटिल प्रोटोकॉल रहा है, और इस तरह की सेवाओं को फायरवॉल के रूप में जाना चाहिए और आंतरिक नेटवर्क तक सीमित होना चाहिए [जिस पर उन्हें सेवा दी जा रही है]।
जब रिमोट एक्सेस की आवश्यकता होती है, तो घर या विशेष रूप से कॉर्पोरेट नेटवर्क के लिए, उन एक्सेस को वीपीएन तकनीक का उपयोग करके बेहतर किया जाना चाहिए।
हमेशा की तरह, इस स्थितियों पर केवल आवश्यक सेवाओं को स्थापित करने और सक्रिय करने का यूनिक्स सिद्धांत भुगतान नहीं करता है।
शोषण से ही लिया गया:
इटरनल रेड सांबा एक्सप्लॉइट - CVE-2017-7494।
एक साझा लाइब्रेरी को रूट संदर्भ में लोड करने के लिए संवेदनशील सांबा सर्वर का कारण बनता है।
यदि सर्वर में अतिथि खाता है तो क्रेडेंशियल की आवश्यकता नहीं है।
दूरस्थ शोषण के लिए आपके पास कम से कम एक शेयर के लिए अनुमति होनी चाहिए।
अनन्त रेड, सांबा सर्वर को उन शेयरों के लिए स्कैन करेगा जिन्हें वह लिख सकता है। यह दूरस्थ शेयर की पूर्णता भी निर्धारित करेगा।
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
यह भी जाना जाता है कि SELinux सक्षम सिस्टम शोषण के प्रति संवेदनशील नहीं हैं।
देखें 7 वर्षीय सांबा दोष देता है दूर से लिनक्स पीसी के हैकर पहुँच हजारों
Shodan कंप्यूटर सर्च इंजन के अनुसार, 485,000 से अधिक सांबा-सक्षम कंप्यूटरों ने इंटरनेट पर पोर्ट 445 को उजागर किया, और रैपिड 7 के शोधकर्ताओं के अनुसार, 104,000 से अधिक इंटरनेट-उजागर एंडपॉइंट्स सांबा के कमजोर संस्करणों को चलाते दिखाई दिए, जिनमें से 92,000 हैं। सांबा के असमर्थित संस्करण चलाना।
चूंकि सांबा लिनक्स और यूनिक्स प्रणालियों पर लागू एसएमबी प्रोटोकॉल है, इसलिए कुछ विशेषज्ञ इसे WannaCry रैंसमवेयर द्वारा उपयोग किए गए "लिनक्स वर्जन ऑफ इटर्नलब्लू" कह रहे हैं।
... या मुझे सांब्री कहना चाहिए?
कमजोर प्रणालियों की संख्या को ध्यान में रखते हुए और इस भेद्यता का फायदा उठाने में आसानी के कारण, साम्बा दोष का बड़े पैमाने पर उपयोग किया जा सकता है।
नेटवर्क से जुड़े स्टोरेज (NAS) डिवाइस [जो लिनक्स भी चलाते हैं] के साथ होम नेटवर्क भी इस दोष की चपेट में आ सकते हैं।
यह भी देखें एक चिंताजनक कोड-निष्पादन बग 7 साल के लिए सांबा में दुबक गया है। पैच अब!
सीवीई-2017-7494 के रूप में अनुक्रमित सात वर्षीय दोष, दुर्भावनापूर्ण कोड को निष्पादित करने के लिए कोड की सिर्फ एक पंक्ति के साथ मज़बूती से शोषण किया जा सकता है, जब तक कि कुछ शर्तों को पूरा किया जाता है। उन आवश्यकताओं में संवेदनशील कंप्यूटर शामिल हैं:
(ए) इंटरनेट पर फ़ाइल-और प्रिंटर-शेयरिंग पोर्ट 445 को उपलब्ध करने योग्य बनाते हैं,
(बी) साझा किए गए विशेषाधिकार को लिखने के लिए साझा की गई फ़ाइलों को कॉन्फ़िगर करते हैं, और
(सी) उन फ़ाइलों के लिए ज्ञात या अनुमानित सर्वर पथ का उपयोग करते हैं।
जब वे स्थितियां संतुष्ट हो जाती हैं, तो दूरस्थ हमलावर अपने चुनने के किसी भी कोड को अपलोड कर सकते हैं और सर्वर को निष्पादित करने का कारण बन सकते हैं, संभवतः अनपेक्षित रूट विशेषाधिकारों के साथ, असुरक्षित मंच पर निर्भर करता है।
शोषण की आसानी और विश्वसनीयता को देखते हुए, यह छेद जल्द से जल्द प्लग करने लायक है। यह केवल समय की बात है जब तक हमलावर सक्रिय रूप से इसे लक्षित करना शुरू नहीं करते।
इसके अलावा रैपिड 7 - सांबा में पैचिंग CVE-2017-7494: यह जीवन का चक्र है
और अधिक सांब्री: लिनक्स सीक्वल टू वन्नाक्र्री ।
जरूरत है-जाने तथ्यों की
CVE-2017-7494 का CVSS स्कोर 7.5 (CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H) 3 है।
धमकी देना
"Port: 445! Os: windows" की एक shodan.io क्वेरी लगभग एक मिलियन गैर-विंडोज होस्ट दिखाती है जिनके पास इंटरनेट के लिए tcp / 445 खुला है, जिनमें से आधे से अधिक संयुक्त अरब अमीरात (36%) में मौजूद हैं और यूएस (16%)। हालांकि इनमें से कई पैच किए गए संस्करण चल रहे हैं, SELinux प्रोटेक्शन हैं, या अन्यथा शोषण को चलाने के लिए आवश्यक मानदंडों से मेल नहीं खाते हैं, इस भेद्यता के लिए संभावित हमले की सतह बड़ी है।
PS SAMMA गिट्ट परियोजना में प्रतिबद्ध सुधार के लिए प्रतिबद्ध दिखाई देते हैं 02a76d86db0cbe79fcaf1a500630e24d961fa149