-
06/07/2013
-
797
-
1.308 bài viết
Cảnh báo: Lỗ hổng 7 năm tuổi trong Samba cho phép hacker truy cập từ xa hàng ngàn máy tính Linux
Một lỗ hổng RCE 7 năm tuổi vừa được phát hiện trong phần mềm nguồn mở Samba cho phép những kẻ tấn công chiếm quyền điều khiển các máy tính chạy Linux và Unix bị ảnh hưởng.
Samba là một phần mềm nguồn mở chạy trên hầu hết các hệ điều hành bao gồm Windows, Linux, UNIX, IBM System 390 và OpenVMS.
Samba cho phép các hệ điều hành như Linux, Mac OS X có thể chia sẻ tập tin, thư mục, máy in với hệ thống khác sử dụng hệ điều hành Windows.
Lỗ hổng RCE mới phát hiện (CVE-2017-7494) ảnh hưởng đến tất cả phiên bản Samba từ 3.5.0 trở lên được phát hành vào 1/3/2010.
Phiên bản Linux của EternalBlue?
Theo kết quả tìm kiếm từ Shodan, có hơn 485.000 máy tính chạy Samba sử dụng cổng 445 trên Internet và theo các nhà nghiên cứu tại Rapid7, có hơn 104.000 thiết bị đầu cuối trên Internet đang chạy các phiên bản Samba tồn tại lỗ hổng bảo mật, trong đó 92.000 thiết bị chạy các phiên bản không còn hỗ trợ của Samba.
Do Samba triển khai giao thức SMB trên các hệ thống Linux và UNIX nên một số chuyên gia cho rằng đó là "phiên bản Linux của EternalBlue" được dùng bởi mã độc tống tiền WannaCry. Đây là lỗ hổng vô cùng nguy hiểm lại có thể bị khai thác ở quy mô lớn.
Các thiết bị NAS (network-attached storage) cũng có thể bị ảnh hưởng bởi lỗ hổng này.
Đã xuất hiện mã khai thác
Lỗ hổng tồn tại trong cách Samba xử lý các thư viện chia sẻ. Lỗ hổng cho phép kẻ tấn công từ xa có thể tải lên một thư viện chia sẻ đến một vùng chia sẻ có khả năng ghi và sau đó làm cho máy chủ tải và thực thi mã độc.
Lỗ hổng này rất dễ khai thác vì chỉ cần một dòng mã là đã có thể thực thi mã độc trên hệ thống bị ảnh hưởng.
Mã khai thác lỗ hổng này đã được chuyển sang Metasploit, một môi trường dùng để kiểm thử xâm nhập, cho phép các nhà nghiên cứu cũng như các hacker khai thác lỗ hổng này một cách dễ dàng.
Bản vá và cách xử lý
Hiện tại Samba đã vá lỗ hổng này trong các phiên bản mới 4.6.4/4.5.10/4.4.14 cũng như cung cấp bản vá cho những phiên bản Samba không còn hỗ trợ và người dùng những phiên bản Samba có lỗ hổng cần cài đặt bản vá càng sớm càng tốt.
Nếu như không thể nâng cấp lên Samba phiên bản mới nhất người dùng có thể xử lý bằng cách thêm dòng sau vào tập tin cấu hình Samba (smb.conf):
Sau khi thêm dòng trên, khởi động lại máy. Sự thay đổi trên sẽ giảm một số truy cập và vô hiệu hóa một số chức năng cho các hệ thống Windows đã được kết nối.
Trong khi các nhà phân phối Linux, bao gồm Red Hat và Ubuntu đã phát hành bản vá cho người dùng thì nguy cơ vẫn rất lớn đối với người dùng các thiết bị NAS do không được cập nhật sớm.
Netgear cũng đã thông báo một số lượng lớn router và NAS của hãng bị ảnh hưởng bởi lỗ hổng này và đã đưa ra bản cập nhật firmware cho các sản phẩm ReadyNAS chạy OS 6.x.
Samba là một phần mềm nguồn mở chạy trên hầu hết các hệ điều hành bao gồm Windows, Linux, UNIX, IBM System 390 và OpenVMS.
Samba cho phép các hệ điều hành như Linux, Mac OS X có thể chia sẻ tập tin, thư mục, máy in với hệ thống khác sử dụng hệ điều hành Windows.
Lỗ hổng RCE mới phát hiện (CVE-2017-7494) ảnh hưởng đến tất cả phiên bản Samba từ 3.5.0 trở lên được phát hành vào 1/3/2010.
Phiên bản Linux của EternalBlue?
Theo kết quả tìm kiếm từ Shodan, có hơn 485.000 máy tính chạy Samba sử dụng cổng 445 trên Internet và theo các nhà nghiên cứu tại Rapid7, có hơn 104.000 thiết bị đầu cuối trên Internet đang chạy các phiên bản Samba tồn tại lỗ hổng bảo mật, trong đó 92.000 thiết bị chạy các phiên bản không còn hỗ trợ của Samba.
Do Samba triển khai giao thức SMB trên các hệ thống Linux và UNIX nên một số chuyên gia cho rằng đó là "phiên bản Linux của EternalBlue" được dùng bởi mã độc tống tiền WannaCry. Đây là lỗ hổng vô cùng nguy hiểm lại có thể bị khai thác ở quy mô lớn.
Các thiết bị NAS (network-attached storage) cũng có thể bị ảnh hưởng bởi lỗ hổng này.
Đã xuất hiện mã khai thác
Lỗ hổng tồn tại trong cách Samba xử lý các thư viện chia sẻ. Lỗ hổng cho phép kẻ tấn công từ xa có thể tải lên một thư viện chia sẻ đến một vùng chia sẻ có khả năng ghi và sau đó làm cho máy chủ tải và thực thi mã độc.
Lỗ hổng này rất dễ khai thác vì chỉ cần một dòng mã là đã có thể thực thi mã độc trên hệ thống bị ảnh hưởng.
Mã:
Simple.create_pipe ("/ path / to / target.so")
Mã khai thác lỗ hổng này đã được chuyển sang Metasploit, một môi trường dùng để kiểm thử xâm nhập, cho phép các nhà nghiên cứu cũng như các hacker khai thác lỗ hổng này một cách dễ dàng.
Bản vá và cách xử lý
Hiện tại Samba đã vá lỗ hổng này trong các phiên bản mới 4.6.4/4.5.10/4.4.14 cũng như cung cấp bản vá cho những phiên bản Samba không còn hỗ trợ và người dùng những phiên bản Samba có lỗ hổng cần cài đặt bản vá càng sớm càng tốt.
Nếu như không thể nâng cấp lên Samba phiên bản mới nhất người dùng có thể xử lý bằng cách thêm dòng sau vào tập tin cấu hình Samba (smb.conf):
Mã:
nt pipe support = no
Sau khi thêm dòng trên, khởi động lại máy. Sự thay đổi trên sẽ giảm một số truy cập và vô hiệu hóa một số chức năng cho các hệ thống Windows đã được kết nối.
Trong khi các nhà phân phối Linux, bao gồm Red Hat và Ubuntu đã phát hành bản vá cho người dùng thì nguy cơ vẫn rất lớn đối với người dùng các thiết bị NAS do không được cập nhật sớm.
Netgear cũng đã thông báo một số lượng lớn router và NAS của hãng bị ảnh hưởng bởi lỗ hổng này và đã đưa ra bản cập nhật firmware cho các sản phẩm ReadyNAS chạy OS 6.x.
Tham khảo: Thehackernews
Chỉnh sửa lần cuối bởi người điều hành: