• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Рекомендации по устранению опасной уязвимости в ПО Samba

24.05.2017 г. стало известно об обнаружении критической уязвимости удаленного выполнения кода (CVE-2017-7494) в сетевом программном обеспечении (ПО) Samba, предустановленном на большинстве дистрибутивов операционных систем Unix, а также работающем в других операционных системах (Windows, Mac OS, IBM System 390 и OpenVMS).

546911

24.05.2017 г. стало известно об обнаружении критической уязвимости удаленного выполнения кода (CVE-2017-7494) в сетевом программном обеспечении (ПО) Samba, предустановленном на большинстве дистрибутивов операционных систем Unix, а также работающем в других операционных системах (Windows, Mac OS, IBM System 390 и OpenVMS).

Samba представляет собой программное обеспечение с открытым исходным кодом, основанное на использовании протокола SMB (Server Message Block). Уязвимость CVE-2017-7494 содержится во всех версиях ПО Samba, начиная с версии 3.5.0, выпущенной более семи лет назад.

Уязвимость позволяет злоумышленнику загрузить библиотеку совместного использования на доступный для записи общий ресурс, после чего заставить сервер выполнить содержащийся в ней вредоносный код. Указанной уязвимости подвержены устройства с открытыми портами 139/TCP и 445/TCP. По состоянию на 25 мая 2017 года в выдаче поисковой системы Shodan содержится более 485 тысяч устройств с открытым портом 445. По сведениям компании Rapid7, более 110 тысяч устройств в сети Интернет используют уязвимые версии ПО Samba, для 91% из которых производителем прекращена техническая поддержка и выпуск обновлений.

Опасности заражения подвержены сетевые хранилища (Network Attached Storage, NAS), устройства из области Интернета вещей (IoT) и различные домашние роутеры, в которых ПО Samba используется для организации общего доступа к файлам. Уязвимость в этих устройствах может быть использована злоумышленниками для кражи данных и дальнейшего развития атаки внутри сети. Для эксплуатации уязвимости не требуется высокой квалификации злоумышленника, что может привести к масштабным проблемам безопасности, в том числе созданию крупных бот-сетей.

Уязвимость CVE-2017-7494 получила название SambaCry (по аналогии с ранее обнаруженным вредоносным ПО WannaCry3) и позиционируется в СМИ как «версия эксплойта EternalBlue для Linux». Как и в случае с вредоносным программным обеспечением WannaCry, уязвимость SambaCry является сетевой и не требует действий со стороны пользователя уязвимой системы для запуска вредоносных модулей.

Рекомендации по устранению уязвимости CVE-2017-7494

Разработчики ПО Samba рекомендуют всем клиентам как можно скорее обновить свои версии программного продукта до текущей. Ссылка на обновление представлена на официальном сайте: https://www.samba.org/samba/history/security.html.

Компания-производитель сетевых хранилищ Netgear также выпустила бюллетень безопасности, описывающий указанную уязвимость в ряде своих продуктов и содержащий рекомендации по её устранению.

В случае если оперативное обновление по каким-то причинам осуществить невозможно, рекомендуется использовать временное решение с добавлением в файл конфигурации smb.conf следующей строки:
nt pipe support = no
После этого требуется перезапустить службу SMB daemon (smbd). Приведённые действия не позволят злоумышленникам получить доступ к сетевым устройствам.

Компания GuardiCore разработала скрипт, с помощью которого можно просканировать свою сеть на предмет обнаружения устройств с уязвимой версией ПО Samba.

Кроме того, использование политики безопасности SELinux (Security-Enhanced Linux), основанной на разделении прав доступа, не позволит злоумышленнику, эксплуатирующему уязвимость CVE-2017-7494, выполнить код на целевой системе.
V Научно-практическая конференция «Информационная безопасность промышленных предприятий и критически важных объектов ТЭК» Итоги конференции «Positive Hack Days 2017»