漏洞預警|Samba遠程代碼執行漏洞,影響7年前版本
Samba是Linux和UNIX系統的SMB協議服務軟體,可以實現與其他操作系統(如:微軟Windows操作系統)進行文件系統、印表機和其他資源的共享。此次漏洞最早影響到7年前的版本,黑客可以利用漏洞進行遠程代碼執行。
漏洞編號
CVE-2017-7494
影響版本
Samba 3.5.0到4.6.4/4.5.10/4.4.14的中間版本
漏洞簡介
攻擊者利用漏洞可以進行遠程代碼執行,具體執行條件如下:
1. 伺服器打開了文件/印表機共享埠445,讓其能夠在公網上訪問
2. 共享文件擁有寫入許可權
3. 惡意攻擊者需猜解Samba服務端共享目錄的物理路徑
滿足以上條件時,由於Samba能夠為選定的目錄創建網路共享,當惡意的客戶端連接上一個可寫的共享目錄時,通過上傳惡意的鏈接庫文件,使服務端程序載入並執行它,從而實現遠程代碼執行。根據伺服器的情況,攻擊者還有可能以root身份執行。
漏洞影響
Samba漏洞讓人聯想到前階段席捲全球的WannaCry漏洞,研究人員懷疑該漏洞同樣具有傳播特性。
在WannaCry所利用的漏洞剛剛出現時,很多人認為它不會造成很大的影響,因為大部分人不會把文件/印表機分享埠開放在公網,但之後持有這種想法的人被迅速打臉,WannaCry病毒造成的危害超出了大家的想像。
而根據Phobus安全公司創始人Dan Tentler稱,有477,000安裝了Samba的計算機暴露了445埠,雖然我們不知道有多少運行著可以被攻擊的Samba版本。Tentler引用的是Shodan返回的搜索結果。Rapid7的研究人員同樣做了統計,他們檢測到有110,000台計算機運行著官方不再提供支持的Samba版本,也就是說不會有針對這些版本的補丁。因此,此次Samba漏洞能夠造成的影響可想而知。
不過與Windows不同,Samba的SMB功能默認不打開,必須手動打開。
一種可能的攻擊場景是,黑客先攻擊家庭網路中的NAS設備,因為NAS更可能將文件分享埠暴露於公網,隨後黑客再進一步攻擊區域網。
Exploit
msf已經新增了專門的
模塊,可以使用這個msf模塊進行檢測。
漏洞修復
最安全的方法還是打補丁或者升級到Samba 4.6.4/4.5.10/4.4.14任意版本。
如果暫時不能升級版本或安裝補丁,可以使用臨時解決方案:
在smb.conf的[global]板塊中添加參數:
nt pipe support = no
然後重啟smbd服務。
*參考來源:ArsTechnica,本文作者:Sphinx,轉載請註明來自FreeBuf(FreeBuf.COM)
※雅虎郵箱也「出血」了,雅虎選擇棄用ImageMagick
※Web開發者安全速查表
※最新SMB殭屍網路利用了7個NSA工具,而WannaCry只用了兩個……
※全球網友來晒圖 | 那些被WannaCry病毒攻擊感染的場景
TAG:FreeBuf |
※Drupal遠程代碼執行漏洞分析
※Cisco WebEx遠程代碼執行漏洞
※Apache Struts遠程代碼執行漏洞分析
※MySQL mmm_agent遠程代碼注入漏洞分析
※ThinkPHP5.0.*遠程代碼執行漏洞預警
※ElectronJs遠程代碼執行漏洞
※Apple會在今年年內發布AirPod 2,預計有新漏洞!
※台積電:7nm EUV晶元首次成功,5nm明年試產;Google+漏洞引關注
※Apache Tomcat再曝嚴重漏洞,789多版本受影響
※Struts2-005遠程代碼執行漏洞分析
※Apache Ignite 高危漏洞預警:攻擊者可執行任意代碼
※漏洞交易公司Zerodium披露:NoScript漏洞允許在Tor中執行代碼
※蘋果漏洞:Apple ID 遠程被鎖!
※預警:TradingView 最新版本再次出現 XSS 0day 漏洞
※WinRAR被曝存嚴重代碼執行漏洞 19年影響5億用戶!
※Google的G Suite 漏洞讓部分密碼明文存儲達 14 年之久
※Google 的 G Suite 漏洞讓部分密碼明文存儲達 14 年之久
※盤古團隊發現ZipperDown漏洞 或有10%的APP受到影響
※再次出現數據泄露漏洞,Google 被逼提早四個月關閉 Google+
※新漏洞 RAMpage 曝光:2012年後發布的所有 Android 手機都危險!