Linuxシステムの「WannaCry」:自分を守る方法は?

Linuxシステムの「WannaCry」:自分を守る方法は?

~によるとrapid7 記事壊れやすいものもあります。サンバLinuxシステムでリモートでコードを実行できるバージョン:

しかし、泣きたいランサムウェアワームはWindowsシステムに影響を与え、明確な校正ステップによって識別するのは簡単です。サンバこの脆弱性は Linux および Unix システムに影響を及ぼし、適切な修正措置を取得または配布するためにかなりの技術的障壁を作成する可能性があります。

CVE-2017-7494

3.5.0で始まるすべてのSambaバージョンは、悪意のあるクライアントが共有ライブラリを書き込み可能な共有にアップロードし、サーバーがそれをロードして実行できるようにするリモートでコードが実行される脆弱性に対して脆弱です。

可能な攻撃シナリオ:

2つの要素から始めます。

  • サンバの脆弱性固定されていませんしかし、いくつかのLinuxディストリビューションでは。
  • パッチされていないローカル特権の昇格の脆弱性が一部のLinuxカーネルバージョン(例:4.8.0-41 General UbuntuカーネルのCVE-2017-7308)に存在します。

攻撃者はローカルエクスプロイトを使用してLinuxシステムへのアクセス権を取得し、権限を昇格させてrootアクセス権を取得し、このモデルに似た将来のラムサムウェアをインストールする可能性があります。 Linuxを狙うWannaCryランサムウェア

修正する

最新の記事「警告!ハッカーはLinuxシステムを攻撃するために「SambaCryの脆弱性」を利用し始めました。」Sambacry障害を使用してLinuxシステムに感染する方法を示します。

この予測は、英国の研究者によって作られたハニーポットとして非常に正確であることがわかりました。カスペルスキーラボ暗号通貨マイニングソフトウェアでLinuxコンピュータに感染するためにSambaCryの脆弱性を悪用するマルウェアキャンペーンがキャプチャされました。

別のセキュリティ研究者であるOmri Ben Bassatは、同じキャンペーンを独立して発見し、名前を付けました。「永遠の鉱夫」

研究者らによると、Sambaの欠陥が公開されてから1週間で、正体不明のハッカーグループがLinux PCをハイジャックし、Moneroデジタル通貨を採掘する暗号通貨「CPUminer」のアップグレード版をインストールし始めた。

攻撃者は SambaCry の脆弱性を使用して脆弱なシステムを損傷した後、ターゲットシステムで 2 つのペイロードを実行しました。

INAebsGB.so — 攻撃者にリモートアクセスを提供するリバースシェルです。

cblRWuoCc.so - 暗号通貨採掘ユーティリティであるCPUminerを含むバックドアです。

2017年7月18日に発表されたTrendLabレポート:SambaCryを悪用する新しい脅威、Linuxユーザーにアップデートを促す

攻撃からLinuxシステムを保護する方法は?

答え1

この新しいSambaの脆弱性は「Sambacry」と命名され、「Eternal Red Samba」と呼ばれる脆弱性自体はTwitterで次のように発表されました。

Sambaのバグ、トリガーされたメタスプロイト単一のコード行は次のとおりです。simple.create_pipe("/path/to/target.so")

潜在的に影響を受ける Samba のバージョンは Samba 3.5.0~4.5.4/4.5.10/4.4.14 です。

Sambaのインストールが以下の構成と一致する場合は、すでに回復/アップグレードが完了しているため、回復/アップグレードをできるだけ早く完了する必要があります。利点、その他Pythonのエクスプロイトそして メタ脆弱性そこにモジュールがあります。

さらに興味深いのは、既知のハニーポットの追加機能があることです。ハニーネットプロジェクト、パリ地獄同時に泣きたいSambaCryプラグイン

サンバの泣き声は(間違って)使用されているようです。より多くの暗号通貨採掘機を設置「永遠の鉱夫」や今後、マルウェアドロッパーとしてもっと頑張ります。

Kaspersky Labの研究者チームによって構築されたハニーポットは、SambaCryの脆弱性を使用して暗号通貨採掘ソフトウェアを悪用してLinuxコンピュータに感染するマルウェアキャンペーンをキャプチャしました。別のセキュリティ研究者 Omri Ben Bassat‏, Independent発見する同じアクティビティを実行し、名前を「EternalMiner」と指定します。

Sambaがインストールされているシステム(CVE通知にもあります)の場合、更新する前に推奨される回避策は次のものを追加することですsmb.conf

nt pipe support = no

(そしてSambaサービスを再起動してください)

これにより、Windows IPC名前付きパイプサービスへの匿名接続を確立する機能をオンまたはオフにする設定が無効になります。からman samba

開発者はこのグローバルオプションを使用して、Windows NT / 2000 / XPクライアントがNT固有のSMB IPC $パイプに接続することを許可または無効にします。ユーザーはデフォルト値を上書きする必要はありません。

しかし、内部経験によると、修正は以前のバージョンと互換性がないようです。 Windowsバージョン(少なくとも一部のWindows 7クライアントは機能しないようですnt pipe support = no)、極端な場合はSambaをインストールまたはコンパイルすることが解決策になる可能性があります。

具体的には、この修正はWindowsクライアントの共有リストを無効にし、適用される場合はそれを使用するために共有へのフルパスを手動で指定する必要があります。

noexec他の既知の回避策は、このオプションを使用してSamba共有をマウントできるようにすることです。これにより、マウントされたファイルシステム上のバイナリは実行されません。

公式のセキュリティソースコードパッチは次のとおりです。ここ~からsamba.org セキュリティページ

Debianは昨日(24/5)アップデートとそのセキュリティ情報を発表しました。DSA-3860-1サンバ

Centos/RHEL/Fedora および派生製品で脆弱性が修正されたことを確認するには、次の手順を実行します。

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

これで検出スクリプトがありますnmapsamba-vuln-cve-2017-7494.nse Sambaのバージョンを検出するか、nmapサービスが脆弱であるかどうかを確認するスクリプトがより良いです。http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve-2017-7494.nse、コピーして/usr/share/nmap/scriptsデータベースnmapを更新するか、次のように実行します。

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

SAMBAサービスを保護するための長期的な措置について:SMBプロトコルはインターネット全体で直接使用できるようにしてはいけません。

SMBが常に複雑なプロトコルであることは言うまでもなく、このタイプのサービスはファイアウォールで保護され、[サービスを提供する]内部ネットワークに制限されるべきです。

ホームネットワーク、特に企業ネットワークなどのリモートアクセスが必要な場合は、これらのアクセスにVPN技術を使用するのが最善です。

いつものように、必要な最小限のサービスだけをインストールしてアクティブにするUnixの原則は、この場合でも実際に成果を上げました。

エクスプロイト自体からインポート:

Eternal Red Samba エクスプロイト - CVE-2017-7494.
脆弱なSambaサーバーにルートコンテキストから共有ライブラリをロードさせる
サーバーにゲストアカウントがある場合、資格情報は必要ありません。
リモート利用には、少なくとも1つの共有に対する書き込み権限が必要です。
Eternal Red は Samba サーバーで書き込み可能な共有を検索します。また、リモート共有へのフルパスも決定します。

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

SELinuxが有効になっているシステムは、この脆弱性に対して脆弱ではないことが知られています。

バラより7年のSambaの欠陥により、ハッカーが何千ものLinux PCにリモートでアクセスできる

Shodanコンピュータ検索エンジンによると、485,000台以上のSamba対応コンピュータがインターネットにポート445を公開しており、Rapid7の研究者によると、インターネットにさらされた104,000以上のエンドポイントが脆弱なSambaバージョンを実行していることが示されています。そのうち92,000はサポートされていないSambaバージョンを実行しています。

SambaはLinuxおよびUNIXシステムでSMBプロトコルを実装しているため、一部の専門家はこれをWannaCryランサムウェアが使用する「EternalBlueのLinuxバージョン」と呼んでいます。

…それともSambaCryと言うべきですか?

脆弱なシステムの数とこの脆弱性が悪用される可能性があるため、Sambaの欠陥はワーム機能によって大規模に悪用される可能性があります。

Linuxを実行しているNAS(Network Attached Storage)デバイスを備えたホームネットワークも、この欠陥に対して脆弱です。

また、見ることができますワーム可能なコード実行のバグは7年間Sambaに潜んでいました。今パッチしてください!

CVE-2017-7494で索引付けされた7年の脆弱性は、いくつかの条件が満たされると、1行のコードでマルウェアを実行するために安定して悪用される可能性があります。これらの要件には、脆弱なコンピュータが含まれます。

(a)インターネットからアクセス可能なファイルとプリンタ共有ポート445を作成し、
(b)共有ファイルに書き込み権限を持つように設定し、
(c)これらのファイルに対して既知または推測可能なサーバーパスを使用します。

これらの条件が満たされると、リモート攻撃者は自分が選択したコードをアップロードし、脆弱なプラットフォームに応じて無制限のroot権限を使用してサーバー上でそれを実行させる可能性があります。

悪用の容易さと信頼性を考慮すると、この脆弱性はできるだけ早く修正する必要があります。攻撃者がこれを積極的にターゲットにし始めるのはおそらく時間の問題です。

返品Rapid 7 - SambaのCVE-2017-7494パッチ:命の循環

そしてもっとSambaCry:WannaCryのLinux続編

知っておくべき事実

CVE-2017-7494のCVSSスコアは7.5です。

脅威の範囲

"port:445 !os:windows" に対する shodan.io クエリによると、インターネット上で tcp/445 を開く Windows 以外のホストが約 100 万に達し、その半分以上がアラブ首長国連邦 (36%) に存在し、米国(16%)。これらの多くはパッチバージョンを実行しているか、SELinux保護を備えているか、またはエクスプロイトを実行するために必要な基準を満たしていませんが、この脆弱性によって攻撃を受ける可能性は広いです。

PS SAMBA githubプロジェクトのコミット修正がコミットされているようです。02a76d86db0cbe79fcaf1a500630e24d961fa149

答え2

Sambaサーバーを実行しているほとんどの人は、ファイアウォールの背後にあるLAN内でサーバーを実行し、そのポートを外部の世界に直接公開しません。

これは悪い習慣であり、OpenVPNのようにシンプルで効果的で、無料(BeerやVoiceのように)のVPNソリューションがあれば言い訳はありません。 SMBはオープンインターネットを念頭に置いて設計されておらず(TCP / IPはプロトコル内で後で検討されている)、そのように扱われるべきです。別の提案は、物理ファイル共有ホストでファイアウォールルールを実行して、すべてのSMBポート(、および)からローカル(最終的にはVPN)ネットワークアドレスのみをホワイトリストに追加する139/TCPことです。445/TCP137/UDP138/UDP

また、ユースケースで許可する場合は、権限のない方法でSambaを実行することを検討する必要があります(sambaエイリアスの下のユーザーとして実行しないなどroot)。この設定を使用してNT ACLの制限とPOSIX ACLを組み合わせるのは簡単ではないことがわかりますが、特定の設定でそれを行うことができる場合はこれが必要です。

最後に、これらの「固定」があっても、可能であればパッチを適用し(これを実行できないNASボックスがあるため)、特定のユースケースを設定できるかどうかをテストすることをお勧めしnt pipe supportますno

関連情報