回归最本质的信息安全

CVE-2017-7494紧急预警:Samba蠕虫级提权漏洞,攻击代码已在网上扩散

2017年5月25日发布

24,676
3
0

导语:昨天晚上,开源软件Samba官方发布安全公告,称刚刚修复了软件内一个已有七年之久的严重漏洞(CVE-2017-7494),可允许攻击者远程控制受影响的Linux和Unix机器。

昨天晚上,开源软件Samba官方发布安全公告,称刚刚修复了软件内一个已有七年之久的严重漏洞(CVE-2017-7494),可允许攻击者远程控制受影响的Linux和Unix机器。

samba-remote-code-exploit.png

Samba是什么

Samba是计算设备的基石级协议SMB的开源实现,被广泛应用在Linux、Unix、IBM System 390、OpenVMS等各类操作系统中,提供文件共享和打印服务。

漏洞影响范围

自2010年3月1日后发布的Samba所有版本均受影响。

影响版本:≥ v3.5.0

根据Shodan统计,目前互联网上暴露Samba 445端口的设备超过485000台。Rapid7研究人员分析后认为,其中有将近11万台设备运行的是不再被支持的Samba版本,因此不会有补丁。

考虑到Samba是许多Linux、Unix发行版的内置软件,所以有专家认为,这个漏洞是“Linux版的永恒之蓝”,很容易被改造为勒索软件的传播组件。

需要特别提及,由于内置Samba,家庭NAS设备也是受影响的重灾区。

漏洞分析

360安全团队的cyg07和redrain分析了这个漏洞,他们向嘶吼提供了相关技术细节。

如Samba官方所描述,该漏洞只需要通过一个可写入的Samba用户权限就可以提权到samba所在服务器的root权限(samba默认是root用户执行的)。

从Patch来看的话,is_known_pipename函数的pipename中存在路径符号会有问题:

33.png

再延伸下smb_probe_module函数中就会形成公告里说的加载攻击者上传的dll来任意执行代码了:

34.png

具体攻击过程:

1.  构造一个有’/’ 符号的管道名或路径名,如 “/home/toor/cyg07.so”

2.  通过smb的协议主动让服务器smb返回该FID

3.  后续直接请求这个FID就进入上面所说的恶意流程

具体攻击结果如下:

1.  尝试加载 “/home/toor/cyg07.so” 恶意so

35.png

2.其中so 代码如下(加载时会调用 samba_init_module 导出函数)

36.png

3.最后我们可以在/tmp/360sec中看到实际的执行权限(带root权限)

37.png

攻击代码

看到公告后,渗透测试框架Metasploit的创始人@hdmoore很快研究出了漏洞验证代码,只需要一行代码就可以利用:

simple.create_pipe("/path/to/target.so")

目前该漏洞在Metasploit已经有了利用模块,可以验证Ubuntu 16.04和群晖NAS设备,更多版本还在验证中。

如何修复?

Samba官方已经发布新版本修复了漏洞,受影响用户可以尽快将软件升级到v 4.6.4/4.5.10/4.4.14以上的版本。

如果暂时不能升级,那么可以将以下代码添加至Samba配置文件smb.conf中

nt pipe support = no

添加代码后,重启SMB守护进程(smbd),就可以临时缓解漏洞了。

如若转载,请注明原文地址: http://www.4hou.com/vulnerable/4976.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

临时工

发私信

发表评论

    longye
    longye 2017-06-12 11:45

    有人在漏洞公开后利用它去攻击Linux电脑,提权挖坑。Hackers Started Using "SambaCry Flaw" to Hack Linux Systems
    http://thehackernews.com/2017/06/linux-samba-vulnerability.html

    longye
    longye 2017-06-04 18:46

    思科、网件、群晖几家公司都出修复补丁了,有用的赶紧更新吧
    https://threatpost.com/cisco-netgear-readying-patches-for-samba-vulnerability/125974/

    程白凡
    程白凡 2017-05-26 14:46

    好害怕,小弟弟配置的路由器不会也有问题吧?