Linux版「永恆之藍」來襲 360發布Samba漏洞警報

Samba是開源共享服務軟體，被廣泛應用在各種Linux和UNIX系統上，類似於Windows上的SMB服務。最近肆虐的「永恆之藍」專門攻打Windows的SMB漏洞，此次Samba曝出遠程代碼執行漏洞主要威脅Linux伺服器，一些NAS網路存儲產品也受到影響，360提示相關用戶儘快進行安全更新。

概述

2017年5月24日Samba發布了4.6.4版本，中間修復了一個嚴重的遠程代碼執行漏洞，漏洞編號CVE-2017-7494，漏洞影響了Samba 3.5.0之後和包括4.6.4/4.5.10/4.4.14在內的版本。360網路安全中心和 360信息安全部的Gear Team第一時間對該漏洞進行了分析，確認屬於嚴重漏洞，可以造成遠程代碼執行。

技術分析

如官方所描述，該漏洞只需要通過一個可寫入的Samba用戶許可權就可以提權到samba所在伺服器的root許可權(samba默認是root用戶執行的)。

從Patch來看的話，is_known_pipename函數的pipename中存在路徑符號會有問題：

再延伸下smb_probe_module函數中就會形成公告里說的載入攻擊者上傳的dll來任意執行代碼了：

具體攻擊過程：

1.構造一個有』/』符號的管道名或路徑名，如 「/home/toor/cyg07.so」

2.通過smb的協議主動讓伺服器smb返回該FID

3.後續直接請求這個FID就進入上面所說的惡意流程

具體攻擊結果如下：

1.嘗試載入「/home/toor/cyg07.so」惡意so

2.其中so代碼如下(載入時會調用samba_init_module導出函數)

3.最後我們可以在/tmp/360sec中看到實際的執行許可權(帶root許可權)

解決方案

360網路安全響應中心和360信息安全部建議使用受影響版本的用戶立即通過以下方式來進行安全更新操作，

1.使用源碼安裝的Samba用戶，請儘快下載最新的Samba版本手動更新;

2.使用二進位分發包(RPM等方式)的用戶立即進行yum，apt-get update等安全更新操作;

緩解策略：用戶可以通過在smb.conf的[global]節點下增加nt pipe support = no選項，然後重新啟動samba服務，以此達到緩解該漏洞的效果。

聲明：本文僅為傳遞更多網路信息，不代表ITBear觀點和意見，僅供參考了解，更不能作為投資使用依據。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！