DevSecOps

7 jun, 2017

Falha Samba permite que hackers acessem milhares de PCs com Linux e Unix

Publicidade

Uma vulnerabilidade crítica de execução de código remoto de 7 anos foi descoberta no software de rede de Samba que poderia permitir que um invasor remoto tomasse o controle de uma máquinas Linux e UNIX afetada.

O Samba é um software open-source (re-implementação do protocolo de rede SMB) que é executado na maioria dos sistemas operacionais disponíveis hoje, incluindo Windows, Linux, UNIX, IBM System 390 e OpenVMS. Ele permite que sistemas operacionais que não sejam Windows, como GNU/Linux ou Mac OS X compartilhem pastas, arquivos e impressoras de rede com o sistema Microsoft.

A vulnerabilidade de execução remota de código recentemente descoberta (CVE-2017–7494) afeta todas as versões mais recentes do Samba desde a v3.5.0, que foi lançada em 1 de março de 2010.

“Todas as versões do Damba a partir da v3.5.0 em diante são vulneráveis a uma vulnerabilidade de execução de código remoto, permitindo que um cliente mal-intencionado carregue uma biblioteca compartilhada para um compartilhamento gravável e, em seguida, fazer com que o servidor o carregue e o execute”, conforme publicado no samba.org.

Versão Linux do EternalBlue Exploit?

De acordo com o mecanismo de pesquisa de computador Shodan, mais de 485 mil computadores habilitados para Samba expuseram a porta 445 na Internet, e de acordo com pesquisadores da Rapid7, mais de 104 mil pontos de extremidade expostos à Internet pareciam estar executando versões vulneráveis do Samba, das quais 92 mil estavam executando versões sem suporte do Samba.

Uma vez que o samba possui o protocolo SMB implementado em sistemas Linux e UNIX, alguns especialistas estão dizendo que é a vulnerabilidade é um espécie de “versão Linux do EternalBlue”, usado pelo ransomware WannaCry.

…ou devo dizer SambaCry?

Tendo em mente o número de sistemas vulneráveis e a facilidade de explorar esta vulnerabilidade, a falha do Samba pode ser explorada em grande escala com recursos wormable.

Redes domésticas com dispositivos de armazenamento em rede (NAS) também podem ser vulneráveis a essa falha.

Código de Exploração Liberado! (Bônus: Módulo Metasploit)

A falha residia na forma como o Samba lidava com bibliotecas compartilhadas. Um invasor remoto poderia usar essa vulnerabilidade de carregamento de módulo arbitrário do Samba (código POC) para fazer o upload de uma biblioteca compartilhada para um compartilhamento gravável e fazer com que o servidor carregasse e executasse o código malicioso.

A vulnerabilidade é fácil de explorar. Apenas uma linha de código é necessária para executar o código malicioso no sistema com a versão afetada.

simple.create_pipe(“/path/to/target.so”)

No entanto, a façanha do Samba já foi portada para Metasploit, uma estrutura de testes de penetração, permitindo que pesquisadores, bem como hackers possam explorar essa falha facilmente.

Patch e atenuações

Os mantenedores do Samba já corrigiram a vulnerabilidade em todas as versões, e estão alertando aqueles que utilizam uma versão vulnerável do Samba para que instalem o patch o mais rápido possível.

Se não for possível atualizar para as últimas versões do Samba imediatamente, é possível trabalhar em torno da vulnerabilidade, adicionando a seguinte linha para o seu arquivo de configuração do Samba smb. conf:

nt pipe support = no

Uma vez adicionada, reinicie o SMB daemon (smbd) na rede e está feito. Essa alteração impedirá que os clientes acessem completamente algumas máquinas de rede, bem como desabilitar algumas funções previsíveis para sistemas Windows conectados.

Enquanto os fornecedores de distribuições Linux, incluindo Red Hat e Ubuntu, já lançaram versões corrigidas para seus usuários, o risco maior é o de consumidores de dispositivos NAS que podem não ser atualizados rapidamente.

Craig Williams, da Cisco, disse que, dado o fato de que a maioria dos dispositivos NAS executam o Samba e tem dados muito valiosos, a vulnerabilidade “tem potencial para ser o primeiro ransomware worm para Linux de grande porte”.

A Netgear lançou um aviso de segurança para CVE-2017–7494, dizendo que um grande número de seus roteadores e modelos de produtos NAS não são afetados pela falha porque eles usam a versão Samba v3.5.0 ou posterior.

No entanto, a empresa lançou recentemente correções de firmware apenas para equipamentos ReadyNAS executando OS v6.x.