小心了!Linux版勒索病毒來襲;路由器等智能硬體易成重災區
肆虐全球Windows設備的「永恆之藍」勒索病毒攻擊餘波未平,一個Linux版的「永恆之藍」又出現了。
360官方博客25日緊急發布了Samba遠程代碼執行漏洞警報(CVE-2017-7494)。
Samba是在Linux和Unix系統上實現SMB協議的開源軟體,正廣泛應用在Linux伺服器、NAS網路存儲產品以及路由器等各種IoT智能硬體上。
360方面介紹,與Windows版的「永恆之藍」相比,Samba漏洞相對比較簡單、更容易被攻擊,而且同樣威力巨大,可以遠程執行任意代碼。其漏洞攻擊工具也已在網上公開,很可能被不法分子惡意利用。
對普通個人用戶來說,Samba漏洞會對各種常用的智能硬體造成嚴重威脅。例如,全球流行的路由器開源固件OpenWrt就受到Samba漏洞影響,可能導致路由器被黑客控制,劫持或監聽網路流量,甚至給上網設備植入木馬。此外,包括智能電視等設備中,Samba文件共享也是常用的服務。
針對各類智能硬體用戶,建議用戶及時關閉路由器、智能電視等設備的Samba文件共享服務,等待固件進行安全更新後再開啟Samba。
針對使用Samba的伺服器管理員,360方面也提出了安全更新建議。
360對Samba遠程代碼執行漏洞(CVE-2017-7494)分析
作者: cyg07 && redrain
概述
2017年5月24日Samba發布了4.6.4版本,中間修復了一個嚴重的遠程代碼執行漏洞,漏洞編號CVE-2017-7494,漏洞影響了Samba 3.5.0 之後到4.6.4/4.5.10/4.4.14中間的所有版本。360網路安全中心 和 360信息安全部的Gear Team第一時間對該漏洞進行了分析,確認屬於嚴重漏洞,可以造成遠程代碼執行。
技術分析
如官方所描述,該漏洞只需要通過一個可寫入的Samba用戶許可權就可以提權到samba所在伺服器的root許可權(samba默認是root用戶執行的)。
從Patch來看的話,is_known_pipename函數的pipename中存在路徑符號會有問題:
再延伸下smb_probe_module函數中就會形成公告里說的載入攻擊者上傳的dll來任意執行代碼了:
具體攻擊過程:
構造一個有』/』 符號的管道名或路徑名,如 「/home/toor/cyg07.so」
通過smb的協議主動讓伺服器smb返回該FID
後續直接請求這個FID就進入上面所說的惡意流程
具體攻擊結果如下:
1.嘗試載入「/home/toor/cyg07.so」 惡意so
2.其中so 代碼如下(載入時會調用samba_init_module 導出函數)
3.最後我們可以在/tmp/360sec中看到實際的執行許可權(帶root許可權)
解決方案
360網路安全響應中心和360信息安全部建議使用受影響版本的用戶立即通過以下方式來進行安全更新操作,
使用源碼安裝的Samba用戶,請儘快下載最新的Samba版本手動更新;
使用二進位分發包(RPM等方式)的用戶立即進行yum,apt-get update等安全更新操作;
緩解策略:用戶可以通過在smb.conf的[global]節點下增加nt pipe support = no 選項,然後重新啟動samba服務, 以此達到緩解該漏洞的效果。
漏洞來源:
CVE-2017-7494.html:
====================================================================== Subject: Remote code execution from a writable share.==== CVE ID#: CVE-2017-7494==== Versions: All versions of Samba from 3.5.0 onwards.==== Summary: Malicious clients can upload and cause the smbd server== to execute a shared library from a writable share.=================================================================================Description===========All versions of Samba from 3.5.0 onwards are vulnerable to a remotecode execution vulnerability, allowing a malicious client to upload ashared library to a writable share, and then cause the server to loadand execute it.==================Patch Availability==================A patch addressing this defect has been posted to http://www.samba.org/samba/security/Additionally, Samba 4.6.4, 4.5.10 and 4.4.14 have been issued assecurity releases to correct the defect. Patches against older Sambaversions are available at http://samba.org/samba/patches/. Sambavendors and administrators running affected versions are advised toupgrade or apply the patch as soon as possible.==========Workaround==========Add the parameter:nt pipe support = noto the [global] section of your smb.conf and restart smbd. Thisprevents clients from accessing any named pipe endpoints. Note thiscan disable some expected functionality for Windows clients.=======Credits=======This problem was found by steelo . VolkerLendecke of SerNet and the Samba Team provided the fix.
點擊展開全文
※企業如何才能輕鬆的自建一套百度級的廣告營銷系統?
※谷歌、IBM和Lyft 聯合推出開放源代碼項目 Istio
※Facebook開源捕捉代碼缺陷的自家工具:OneWorld、Jupiter、AL
※軟銀獲英偉達4.9%股份價值40億美元 成第四大股東
TAG:雲頭條 |
※美國大量路由器遭受攻擊 FancyBear又要搞事情?
※利用虛假瀏覽器更新來入侵MikroTik路由器的活動分析
※用易拉罐製作路由器Wi-Fi放大器有用嗎?
※放毒 | 專為遊戲打造——Razer Sila雷蛇路由器圖賞
※聯想發布基於區塊鏈技術的Lecoo智能路由器S1
※為什麼不把Wi-Fi路由器裝在電腦里?路由器的強大功能!
※電腦、電器、WiFi路由器的輻射危害健康?
※諾基亞推出Beacon 1路由器 帶來更廉價的mesh網路
※卡巴斯基:惡意軟體Slingshot潛伏六年並通過路由器來傳播
※蘋果正式殺死了它的airport路由器,從此退出路由器市場
※Roaming Mantis:通過Wi-Fi路由器感染智能手機
※專為遊戲打造——Razer Sila雷蛇路由器圖賞
※70餘款設備易受 VPNFilter 攻擊,華為、中興的路由器在列
※隱藏6年,惡意軟體Slingshot通過路由器侵入PC!
※路由器也能Turbo 華為子母路由Q2 Pro體驗
※【玩轉路由】小米路由器安裝Misstar Tools工具箱——科學上網
※黑客幾秒可盜走特斯拉|MikroTik路由器被劫持挖礦|Mirai新變種來襲
※Razer推出新遊戲路由器,提供更可靠的Wi-Fi和網狀網路
※路由器這麼放 難怪Wi-Fi那麼慢
※Google Cast功能導致路由器網路連接中斷是真的嗎