Mengder av Linux- og Unix-maskiner kan blir utsatt for angrep rettet mot en sårbarhet (CVE-2017-7494) som nylig har blitt funnet i Samba, programvaren å tilby Windows-baserte fil- og print-tjenester på Unix- og Linux-systemer.
I likhet med SMB v1-sårbarhenten i Windows som åpnet for EternalBlue-angrepskoden til NSA og deretter utpressingsvaren WannaCry, kan den nye Samba-sårbarheten utnyttes via internett dersom systemets 445-port er eksponert mot internett.
I tillegg kan sårbarheten selvfølgelig utnyttes i lokalnett, for eksempel av skadevare som en bruker har mottatt via for eksempel en phishing-epost.
Hundre tusenvis av systemer
Sikkerhetsselskapet Rapid7 har funnet over 100 000 berørte systemer som er eksponert på internett. De fleste av disse kjører eldre versjoner av Samba enn de som offisielt støttes av Samba Team, som har gitt ut sikkerhetsoppdateringer til versjon 4.4.x og nyere. Sårbarheten ble innført i versjon 3.5, som kom i 2010.
Et ikke kvalitetssikret søk i Shodan gir over en halv million treff på systemer med Samba eksponert mot internett.
Flere Linux-distributører har allerede begynt å distribuere ut disse oppdateringene. På systemer hvor en slik oppdatering ennå ikke er tilgjengelig, kan man i konfigurasjonsfilen smb.conf legge til følgende parameter, før man starter smbd (Samba-daemonen) på nytt:
nt pipe support = no
Dette vil hindre utnyttelse av sårbarheten, men kan også føre til at funksjonalitet som Windows-klienter forventer, blir deaktivert.
Husker du denne? Kritisk sårbarhet funnet i utbredt fildelingsprotokoll
Root-tilgang?
Selve sårbarheten gjør det mulig for ondsinnede å laste opp et delt bibliotek til et skrivbart, Samba-basert filområde og få serveren til å laste og kjøre dette, med samme privilegier som Samba-tjenesten selv, noe som ofte er root.
Det forutsetter at man har tilgang til et slikt skrivbart filområde. Forhåpentligvis er det få som tillater slik tilgang fra ikke-autentiserte brukere.
Angrepskode som utnytter sårbarheten er allerede tilgjengelig i penetrasjonstestverktøyet Metasploit fra Rapid7. Ifølge HD Moore, sikkerhetsforskeren som opprinnelig lagde Metasploit, kan sårbarheten utnyttes ved bare én kommandolinje i Metasploit.
Billige lagringsenheter er berørt
Samba brukes ikke bare av mange tradisjonelle Linux-servere, men også av mange NAS-systemer (Network Attached Storage). I alle fall Synology har derfor kommet med sikkerhetsoppdateringer som fjerner sårbarheten fra berørte systemer.
Selv om det er visse likheter, skal det nok mye til før Samba-sårbarheten blir til en orm med samme potensial som WannaCry. Angrep som utnytter Samba-sårbarheten kan potensielt gjøre betydelig skade på Samba-serverne, inkludert å oppnå full kontroll over systemet og alle data som er lagret på dette.
Men så langt er det ingen automatisk, ormlignende spredningsfunksjonalitet tilgjengelig, noe som var blant det som kjennetegnet WannaCry.
Til DarkReading sier Lane Thomas, en sikkerhetsforsker hos Tripwire, at det er usannsynlig at denne Samba-sårbarheten til vil føre til WannaCry-lignende tilstander, ikke minst fordi en angriper vil måtte kjenne til plasseringen av egnede filområder og at det normalt vil kreve autentisering før en angriper får skrivetilgang til dette.
– Etter mitt syn er den mer bekymringsverdige siden ved denne sårbarheten den utbredte bruken av billige lagringsløsninger, slik som NAS-enheter, sier han. Han mener at leverandørene av disse ikke nødvendigvis vil komme med sikkerhetsoppdateringer særlig raskt, om i det hele tatt.