546911
24.05.2017 г. стало известно об обнаружении критической уязвимости удаленного выполнения кода (CVE-2017-7494) в сетевом программном обеспечении (ПО) Samba, предустановленном на большинстве дистрибутивов операционных систем Unix, а также работающем в других операционных системах (Windows, Mac OS, IBM System 390 и OpenVMS).
Samba представляет собой программное обеспечение с открытым исходным кодом, основанное на использовании протокола SMB (Server Message Block). Уязвимость CVE-2017-7494 содержится во всех версиях ПО Samba, начиная с версии 3.5.0, выпущенной более семи лет назад.
Уязвимость позволяет злоумышленнику загрузить библиотеку совместного использования на доступный для записи общий ресурс, после чего заставить сервер выполнить содержащийся в ней вредоносный код. Указанной уязвимости подвержены устройства с открытыми портами 139/TCP и 445/TCP. По состоянию на 25 мая 2017 года в выдаче поисковой системы Shodan содержится более 485 тысяч устройств с открытым портом 445. По сведениям компании Rapid7, более 110 тысяч устройств в сети Интернет используют уязвимые версии ПО Samba, для 91% из которых производителем прекращена техническая поддержка и выпуск обновлений.
Опасности заражения подвержены сетевые хранилища (Network Attached Storage, NAS), устройства из области Интернета вещей (IoT) и различные домашние роутеры, в которых ПО Samba используется для организации общего доступа к файлам. Уязвимость в этих устройствах может быть использована злоумышленниками для кражи данных и дальнейшего развития атаки внутри сети. Для эксплуатации уязвимости не требуется высокой квалификации злоумышленника, что может привести к масштабным проблемам безопасности, в том числе созданию крупных бот-сетей.
Уязвимость CVE-2017-7494 получила название SambaCry (по аналогии с ранее обнаруженным вредоносным ПО WannaCry3) и позиционируется в СМИ как «версия эксплойта EternalBlue для Linux». Как и в случае с вредоносным программным обеспечением WannaCry, уязвимость SambaCry является сетевой и не требует действий со стороны пользователя уязвимой системы для запуска вредоносных модулей.
Рекомендации по устранению уязвимости CVE-2017-7494
Разработчики ПО Samba рекомендуют всем клиентам как можно скорее обновить свои версии программного продукта до текущей. Ссылка на обновление представлена на официальном сайте: https://www.samba.org/samba/history/security.html.
Компания-производитель сетевых хранилищ Netgear также выпустила бюллетень безопасности, описывающий указанную уязвимость в ряде своих продуктов и содержащий рекомендации по её устранению.
В случае если оперативное обновление по каким-то причинам осуществить невозможно, рекомендуется использовать временное решение с добавлением в файл конфигурации smb.conf следующей строки:
После этого требуется перезапустить службу SMB daemon (smbd). Приведённые действия не позволят злоумышленникам получить доступ к сетевым устройствам.
Компания GuardiCore разработала скрипт, с помощью которого можно просканировать свою сеть на предмет обнаружения устройств с уязвимой версией ПО Samba.
Кроме того, использование политики безопасности SELinux (Security-Enhanced Linux), основанной на разделении прав доступа, не позволит злоумышленнику, эксплуатирующему уязвимость CVE-2017-7494, выполнить код на целевой системе.
| nt pipe support = no |
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
