В пакете открытого ПО выявлена уязвимость — аналог WannaCry

Уязвимость в серверном коде, получившая индекс CVE-2017-7494 позволяет удаленно запускать произвольный код при наличии у злоумышленника возможности записи данных в какой-либо каталог на сервере. Для успешной атаки требовалось загрузить сформированную специальным образом библиотеку общего пользования в каталог, и сервер загружал и выполнял ее, вместе с любым вредоносным кодом, который мог в этой библиотеке содержаться.

Уязвимость присутствует во всех версиях от 3.5.0 и до самой последней версии (к 27 мая 2017 года) — 4.6.4. Учитывая, что версия 3.5.0 вышла в 2010 году, уязвимость оставалась незамеченной в течение семи лет. 

Разработчики Samba выпустили необходимые патчи и разослали всем пользователям уведомления о необходимости их срочной установки. Для версий 4.6.4, 4.5.10 и 4.4.14 вышли обновления безопасности, в то время как более старые версии придется патчить вручную. 

Эксперт по безопасности Эйч Ди Мур (HD Moore), создатель Metasploit Project, заявил, что эксплуатировать уязвимость предельно просто: достаточно одной строки кода - simple.create_pipe("/path/to/target.so").

Таким образом, использовать эту уязвимость могут даже совсем уж начинающие хакеры с минимальной подготовкой. Соответствующий модуль в Metasploit уже добавлен.

Компания Rapid7 отмечает, что к концу мая 2017 года в Сети насчитывается более 104 тыс. устройств, на которые установлены уязвимые версии Samba, и которые открыты для подключений извне — через порт 445. Почти 90% из них используют версии [Samba], для которых на данный момент прямого патча не существует, указывается в публикации Rapid7.

«Эксперты Rapid7 опасаются повторения истории с WannaCry: Samba позволяет системам под Unix и Linux открывать общий доступ к каталогам, так же, как это делается под Windows. Червь-шифровальщик WannaCry атаковал системы под управлением Windows, но его было легко опознать и существует четкий алгоритм ликвидации последствий. В то же время, уязвимость в Samba затрагивает системы под Unix и Linux, и устранение последствий возможной атаки может столкнуться с серьезными техническими затруднениями. Они, скорее всего, проявятся в ситуациях, когда для атакованных устройств отсутствуют средства управления обновлениями или когда установка пользователями патчей на уровне операционной системы невозможна в принципе. В результате, мы опасаемся, что такие системы могут стать точками входа в корпоративные сети».

Большое количество сетевых устройств хранения данных, как персональных, так и корпоративных, используют Samba, причем их пользователи могут и не знать об этом. Разработчики дистрибутивов Linux уже выпустили необходимые патчи. Разработчики NAS-накопителей не торопятся это делать. Соответственно, существует угроза, что исправить проблему полностью не удастся, даже если системные администраторы прислушаются к призыву разработчиков и оперативно установят обновления.

В любом случае, необходимо хотя бы попытаться установить исправления или, если это невозможно, отредактировать файл smb.conf, добавив в секции [global] параметр nt pipe support = no, а затем перезапустить демон Samba - smbd. Это помешает эксплуатации уязвимости злоумышленниками, но может также негативно сказаться на доступности файлов и каталогов на накопителе из-под Windows-клиентов. Также необходимо закрыть порт 445 для доступа извне.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!