WannaCry добрался до Linux (Sambacry)!
- Июль 03, 2017
- 5372
Я не являюсь администратором систем Linux и Unix, но недавно мне сообщили грустную новость, что для операционных систем Linux и Unix добралась уязвимость по протоколу SMB (удалённый доступ к данным в сети). Только для windows данной уязвимостью пользовался вирус с названием WannaCry. О нем мы уже рассказывали в видеоуроках «Как защититься от компьютерного вируса шифровальщика WannaCry?» и «Вирус Wannacry. Как установить патч для Microsoft Windows (XP, 7, 8, 10) на всех компьютерах в домене?». А для Linux и Unix он называется SambaCry, и в рамках данной статьи мы рассмотрим варианты защиты от него.
В сетевом программном обеспечении Samba обнаружена критическая уязвимость 7-летней давности, обеспечивающая возможность удалённого выполнение кода. Эта брешь может позволить злоумышленнику взять под контроль уязвимые машины Linux и Unix.
Samba — это программное обеспечение с открытым исходным кодом (иная реализация сетевого протокола SMB), которое работает в большинстве доступных сегодня операционных систем, включая Windows, Linux, UNIX
Samba позволяет другим операционным системам, отличным от Windows, таким как Linux или Mac OS, совместно использовать общие сетевые папки, файлы и принтеры с операционной системой Windows.
Недавно обнаруженная уязвимость удаленного выполнения кода (CVE-2017-7494) затрагивает все версии новее, чем Samba 3.5.0, которая выпущена 1 марта 2010 года.
«Все версии Samba, начиная с 3.5.0, подвержены уязвимости удаленного запуска кода, позволяя злоумышленникам загружать библиотеку совместного использования в доступный для записи общий ресурс, чтобы затем заставить сервер выполнить вредоносный код», — сообщила компания Samba.
По данным поисковой машины Shodan, найдено более 654 000 компьютеров с поддержкой Samba и открытым портом 445. 3526 компьютеров находятся в России.
Поскольку Samba — это SMB протокол, реализованный в системах Linux и UNIX, некоторые эксперты говорят об этом, как о «версии EternalBlue для Linux» или даже SambaCry.
Учитывая количество уязвимых систем и простоту использования этой уязвимости, недостаток Samba может стать новой масштабной проблемой. Домашние сети с подключенными к сети устройствами хранения (NAS) также в зоне риска.
Код эксплойта опубликован.
Этот эксплойт может быть легко использован преступниками.
Как защититься?
В новых версиях Samba 4.6.4 / 4.5.10 / 4.4.14 эта проблема уже исправлена. Настоятельно рекомендуется тем, кто использует уязвимую версию, установить патч (https://www.samba.org/samba/history/security.html) как можно скорее. Но если вы не можете сразу обновиться до последних версий, обойти эту уязвимость, можно добавив следующую строку в свой файл конфигурации smb.conf:
nt pipe support = no
После перезапустите SMB daemon (smbd). На этом - всё. Это изменение не позволит получить полный доступ к сетевым машинам, а также отключит некоторые функции для подключенных Windows-систем.
Red Hat и Ubuntu, уже выпустили исправленные версии для своих пользователей. Однако, риск заключается в том, что пользователи сетевых хранилищ (NAS) не обновляются так быстро.
Крейг Уильямс (Craig Williams) из Cisco сказал, что, учитывая тот факт, что большинство NAS-устройств запускают Samba и хранят очень ценные данные, эта уязвимость «может стать первым крупномасштабным червем Ransomware для Linux».
Позднее разработчики Samba также предоставили патчи (https://www.samba.org/samba/patches/) для более старых и неподдерживаемых версий Samba.
