SambaCry xâm nhập hàng ngàn máy tính Linux từ xa

Lỗ hổng trên Samba cho phép hacker xâm nhập hàng ngàn máy tính Linux từ xa

Gần đây lỗ hổng thực thi đoạn mã từ xa (CVE-2017-7497) mới được phát hiện ảnh hưởng đến tất cả các phiên bản mới kể từ Samba 3.5.0 phát hành vào 1/3/2010.

Samba đã chính thức công bố lỗ hổng của họ vào hôm thứ Tư rằng: “Tất cả các phiên bản Samba từ 3.5.0 trở về sau đều có lỗ hổng thực thi đoạn mã từ xa, cho phép các máy client nhiễm độc tải nội dung lên thư mục dùng chung và khiến máy chủ tải rồi thực thi tập tin”.

 

sambacry on linux
sambacry on linux

Samba là một phần mềm open-source (được phát triển từ giao thức SMB) chạy trên các hệ điều hành phổ biến như Windows, Linux, Unix, IBM System 390 và OpenVMS.

Samba cho phép các hệ điều hành không phải Windows như GNU/Linux hay macOS chia sẻ thư mục, tập tin và máy in với hệ điều hành Windows thông qua giao thức SMB.

 

Liệu có phải đây là phiên bản của lỗ hổng EternalBlue trên Linux?

Vì Samba là giao thức SMB sử dụng trên hệ thống Linux và Unix nên một vài chuyên gia cho rằng đây chính là lỗ hổng EternalBlue trên Linux, được WannaCry khai thác. Liệu ta có nên gọi đây là SambaCry?

 

Theo Shodan có hơn 485.000 máy tính cài đặt Samba sử dụng cổng 445 trên Internet. Theo các nhà nghiên cứu tại Rapid 7, hơn 104.000 endpoint trên Internet chạy các phiên bản Samba có lỗ hổng, trong số đó 92.000 endpoint chạy các phiên bản Samba không được hỗ trợ.

 

lo-hong-samba-linux-may-tinh
lo-hong-samba-linux-may-tinh

 

Số lượng hệ thống có lỗ hổng là rất nhiều và việc khai thác lỗ hổng cũng rất dễ dàng, Samba hoàn toàn có thể tạo nên một cuộc tấn công quy mô lớn. Ngay cả Home-Network cũng có thể bị khai thác nếu dùng thiết bị lưu trữ NAS gắn vào mạng.

 

Khai thác đoạn mã (sử dụng công cụ Metasploit)

Lỗ hổng Samba đã được đưa lên Metasploit (một framework dùng để kiểm tra, sử dụng các đoạn mã khai thác lỗ hổng), cho phép các nhà nghiên cứu cũng như hacker dễ dàng khai thác lỗ hổng.

Lỗ hổng này được khai thác qua cách Samba chia sẻ tập tin. Kẻ tấn công sử dụng đoạn module Samba ngẫu nhiên để tải lên thư mục chung và khi máy chủ người dùng tải về, nó sẽ thực thi đoạn mã nhiễm độc. Việc khai thác lỗ hổng rất đơn giản, chỉ cần một đoạn mã để thực thi đoạn mã độc trên máy đã bị nhiễm.

simple.create_pipe(“/path/to/target.so”)

lo-hong-samba-linux-code
lo-hong-samba-linux-code

 

Bản vá

Samba đã vá cho các phiên bản mới 4.6.4, 4..5.10 và 4.4.14. Người dùng các phiên bản vẫn còn lỗ hổng Samba được khuyến khích nhanh chóng cài đặt bản vá. Nếu không thể cập nhật ngay lên những bản mới nhất của Samba, bạn có thể tránh lỗ hổng này bằng cách thêm dòng sau vào tập tin smb.conf của Samba.

nt pipe support = no

Sau khi thêm vào, bạn chỉ cần khởi động lại SMB daemon (smbd) là xong. Thao tác này sẽ ngăn không cho máy client xâm nhập vào mạng cũng như vô hiệu hóa một số chức năng để kết nối với Windows.

Dù các nhà phát hành các bản Linux, bao gồm Red Hat và Ubuntu đã đưa ra bản vá cho người dùng, mối nguy vẫn đến từ các thiết bị NAS khi chúng chưa thể cập nhật nhanh được.

Craig Williams của hãng Cisco nói rằng: hầu hết các thiết bị NAS chạy Samba và chứa những dữ liệu quan trọng, lỗ hổng này có “nguy cơ trở thành sâu ransomware quy mô lớn đầu tiên trên Linux“.

Netgear cũng đưa ra lời khuyên bảo mật liên quan tới CVE-2017-7494, rằng rất nhiều router và sản phẩm NAS đã bị ảnh hưởng bởi sử dụng phiên bản Samba 3.5.0 trở lên. Tuy vậy, công ty cũng mới phát hành hướng dẫn cập nhật cho các sản phẩm ReadyNAS chạy OS 6.x.

 

Leave a Reply

Your email address will not be published. Required fields are marked *