1. <em id="vzzs9"></em>
      <tbody id="vzzs9"></tbody>

    2. <span id="vzzs9"></span>
      <progress id="vzzs9"></progress>
      首頁 網絡安全360安全預警:Linux版勒索病毒來襲,路由器等智能硬件易成重災區

      360安全預警:Linux版勒索病毒來襲,路由器等智能硬件易成重災區

      運維派隸屬馬哥教育旗下專業運維社區,是國內成立最早的IT運維技術社區,歡迎關注公眾號:yunweipai
      領取學習更多免費Linux云計算、Python、Docker、K8s教程關注公眾號:馬哥linux運維

      肆虐全球Windows設備的“永恒之藍”勒索病毒攻擊余波未平,一個Linux版的“永恒之藍”又出現了。

      360官方博客25日緊急發布了Samba遠程代碼執行漏洞警報(CVE-2017-7494)。

      Samba是在Linux和Unix系統上實現SMB協議的開源軟件,正廣泛應用在Linux服務器、NAS網絡存儲產品以及路由器等各種IoT智能硬件上。

      360方面介紹,與Windows版的“永恒之藍”相比,Samba漏洞相對比較簡單、更容易被攻擊,而且同樣威力巨大,可以遠程執行任意代碼。其漏洞攻擊工具也已在網上公開,很可能被不法分子惡意利用。

      對普通個人用戶來說,Samba漏洞會對各種常用的智能硬件造成嚴重威脅。例如,全球流行的路由器開源固件OpenWrt就受到Samba漏洞影響,可能導致路由器被黑客控制,劫持或監聽網絡流量,甚至給上網設備植入木馬。此外,包括智能電視等設備中,Samba文件共享也是常用的服務。

      針對各類智能硬件用戶,建議用戶及時關閉路由器、智能電視等設備的Samba文件共享服務,等待固件進行安全更新后再開啟Samba。

      針對使用Samba的服務器管理員,360方面也提出了安全更新建議。

      《360對Samba遠程代碼執行漏洞(CVE-2017-7494)分析》

      作者: cyg07 && redrain

      概述

      2017年5月24日Samba發布了4.6.4版本,中間修復了一個嚴重的遠程代碼執行漏洞,漏洞編號CVE-2017-7494,漏洞影響了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中間的所有版本。360網絡安全中心 和 360信息安全部的Gear Team第一時間對該漏洞進行了分析,確認屬于嚴重漏洞,可以造成遠程代碼執行。

      技術分析

      如官方所描述,該漏洞只需要通過一個可寫入的Samba用戶權限就可以提權到samba所在服務器的root權限(samba默認是root用戶執行的)。

      從Patch來看的話,is_known_pipename函數的pipename中存在路徑符號會有問題:

      Linux版勒索病毒

      再延伸下smb_probe_module函數中就會形成公告里說的加載攻擊者上傳的dll來任意執行代碼了:

      Linux版勒索病毒

      具體攻擊過程:

      1. 構造一個有’/’ 符號的管道名或路徑名,如 “/home/toor/cyg07.so”
      2. 通過smb的協議主動讓服務器smb返回該FID
      3. 后續直接請求這個FID就進入上面所說的惡意流程

      具體攻擊結果如下:

      1.嘗試加載 “/home/toor/cyg07.so” 惡意so

      Linux版勒索病毒

      2.其中so 代碼如下(加載時會調用 samba_init_module 導出函數)

      Linux版勒索病毒

      3.最后我們可以在/tmp/360sec中看到實際的執行權限(帶root權限)

      Linux版勒索病毒

      解決方案

      360網絡安全響應中心和360信息安全部建議使用受影響版本的用戶立即通過以下方式來進行安全更新操作,

      1. 使用源碼安裝的Samba用戶,請盡快下載最新的Samba版本手動更新;
      2. 使用二進制分發包(RPM等方式)的用戶立即進行yum,apt-get update等安全更新操作;

      緩解策略:用戶可以通過在smb.conf的[global]節點下增加 nt pipe support = no 選項,然后重新啟動samba服務, 以此達到緩解該漏洞的效果。

      漏洞來源:

      CVE-2017-7494.html:

      ====================================================================
      == Subject: ? ? Remote code execution from a writable share.
      ==
      == CVE ID#: ? ? CVE-2017-7494
      ==
      == Versions: ? ?All versions of Samba from 3.5.0 onwards.
      ==
      == Summary: ? ? Malicious clients can upload and cause the smbd server
      == ? ? ? ? ? ? ?to execute a shared library from a writable share.
      ==
      ====================================================================
      
      ===========
      Description
      ===========
      
      All versions of Samba from 3.5.0 onwards are vulnerable to a remote
      code execution vulnerability, allowing a malicious client to upload a
      shared library to a writable share, and then cause the server to load
      and execute it.
      
      ==================
      Patch Availability
      ==================
      
      A patch addressing this defect has been posted to
      
       ?http://www.samba.org/samba/security/
      
      Additionally, Samba 4.6.4, 4.5.10 and 4.4.14 have been issued as
      security releases to correct the defect. Patches against older Samba
      versions are available at http://samba.org/samba/patches/. Samba
      vendors and administrators running affected versions are advised to
      upgrade or apply the patch as soon as possible.
      
      ==========
      Workaround
      ==========
      
      Add the parameter:
      
      nt pipe support = no
      
      to the [global] section of your smb.conf and restart smbd. This
      prevents clients from accessing any named pipe endpoints. Note this
      can disable some expected functionality for Windows clients.
      
      =======
      Credits
      =======
      
      This problem was found by steelo <knownsteelo@gmail.com>. Volker
      Lendecke of SerNet and the Samba Team provided the fix.

      本文鏈接:http://www.abandonstatusquo.com/18633.html

      網友評論comments

      發表評論

      您的電子郵箱地址不會被公開。

      暫無評論

      Copyright ? 2012-2022 YUNWEIPAI.COM - 運維派 京ICP備16064699號-6
      掃二維碼
      掃二維碼
      返回頂部
      久久久久亚洲国内精品|亚洲一区二区在线观看综合无码|欧洲一区无码精品色|97伊人久久超碰|一级a爱片国产亚洲精品