Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。此次漏洞最早影响到7年前的版本,黑客可以利用漏洞进行远程代码执行。
漏洞编号:CVE-2017-7494
影响版本:>= 3.5.0
漏洞简介
攻击者利用漏洞可以进行远程代码执行,具体执行条件如下:
(a) 存在打开文件/打印机分享端口455,让其能够在公网上访问,
(b) 将分享的文件赋予写入权限
(c) 使用了已知的或者可以被猜出的服务器路径
当以上条件被满足时,远程攻击者可以上传任何代码,然后让服务器执行,根据服务器的情况,攻击者还有可能以root身份执行。
漏洞影响
Samba漏洞让人联想到前阶段席卷全球的WannaCry漏洞,研究人员怀疑该漏洞同样具有传播特性。
在WannaCry所利用的漏洞刚刚出现时,很多人认为它不会造成很大的影响,因为大部分人不会把文件/打印机分享端口开放在公网。
根据Phobus安全公司创始人Dan Tentler称,有477,000安装了Samba的计算机暴露了445端口,虽然我们不知道有多少运行着可以被攻击的Samba版本。Tentler引用了Shodan返回的搜索结果。Rapid7的研究人员同样做了统计,他们检测到有110,000运行着不再支持的Samba版本,也就是说不会有针对这些版本的补丁。
不过与Windows不同,Samba的SMB功能默认不打开,必须手动打开。
一种可能的攻击场景是,黑客先攻击家用网络中的NAS设备,因为NAS更可能将文件分享端口暴露于公网,随后再进一步攻击局域网。
漏洞修复
1、尽快升级补丁https://www.samba.org/samba/history/security.html
2、如果暂时不能升级版本或安装补丁,可以使用临时解决方案:
在smb.conf的[global]板块中添加参数:
nt pipe support = no
然后重启smbd
参考来源:Arstechnica,转载自FreeBuf