Ставшая известной 25 мая 2017 года уязвимость CVE-2017-7494 позволяет удаленно запускать исполняемый код на уязвимых хостах. Уязвимость использует недостатки реализации ПО Samba.
Уязвимыми являются версии Samba 3.5.0 (релиз выпущен в 2010 году) и новее.
Samba используется для предоставления общего доступа к ресурсам, расположенным на машинах под управлением ОС Linux / Unix, для пользователей Windows. Данное ПО включено или по факту используется в большом количестве дистрибутивов на основе Linux / Unix, в том числе NAS и сетевом оборудовании.
На хостах с установленным уязвимым ПО возможна удаленная загрузка разделяемой библиотеки на ресурс, для которого разрешена запись файлов, с последующей загрузкой и исполнением данной библиотеки, что позволяет выполнить вредоносный код.
Для демонстрации эксплуатации уязвимости CVE-2017-7494 создано несколько эксплойтов (например, https://github.com/omri9741/cve-2017-7494), а также модуль популярного ПО для тестирования на проникновение Metasploit, что дает возможность использования данного эксплойта (с нужными модификациями) любому пользователю с минимальными навыками.
Превентивные меры:
- Заблокировать сетевой доступ из сети Интернет в ЛВС по порту TCP 139, 445. Предварительно необходимо убедиться, что данная блокировка не нарушит критичные бизнес-процессы организации.
- Произвести сканирование ресурсов сети на предмет наличия уязвимости CVE-2017-7494, предварительно обновив базы данных уязвимостей сканера защищенности. Необходимо учитывать, что в базы данных некоторых сканеров данная уязвимость может быть не включена на момент сканирования.
- Установить патчи для поддерживаемых версий ПО Samba (выпущены и доступны на https://www.samba.org/samba/history/security.html для версий 4.6.3, 4.5.9, 4.4.13), либо обновить ПО до последнего релиза, не содержащего данную уязвимость. При использовании специальных ОС (например, NAS) необходимо загрузить обновление или патч с сайта производителя.
- Для неподдерживаемых версий, а также при отсутствии возможности обновления или патча ПО необходимо установить параметру «nt pipe support» значение «no», отредактировав файл smb.conf:
nt pipe support = no
Необходимо учитывать, что это может нарушить часть функционала ПО для пользователей Windows - Произвести обновление баз сигнатур средств обнаружения вторжений
Команда экспертов «Информзащиты» готова проконсультировать все компании, обеспокоенные сложившейся ситуацией, по вопросам рисков и угроз, а также оперативно обеспечить защиту их инфраструктуры.
/about/contacts
По услугам технической поддержки и сопровождения: тел: +7 (495) 981-9222, +7 (495) 980-2345 доб. 06
Email: support@itsoc.ru | По услуге SOC — Security Operation Center: тел: +7 (495) 988-6200
Email: soc@itsoc.ru |