هشدار! هکرها با استفاده از " SambaCry Flaw" هک کردن سیستم‏ های لینوکسی را آغاز نموده‏ اند

دو هفته‌ی پیش یک آسیب‌پذیری هفت ساله در نرم‌افزار شبکه‌ی  Samba(مشهورترین سرویس اشتراک‎گذاری فایل در سیستم ‏های لینوکسی) شناسایی شد که به نفوذگران این امکان را می‌داد که از راه دور کنترل سامانه ‏های لینوکس و یونیکس را در دست بگیرند.  

این آسیب‏ پذیری که با شناسه‏ ی CVE-2017-7494 شناخته شده است مهاجم را قادر می‏ سازد که با دسترسی Write معتبر به یک اشتراک فایل بتواند فایل باینری دلخواه را که با مجوز Samba اجرا می‏ گردد آپلود و اجرا نماید. این نقص می‏ تواند تنها با چند خط کد بدون اینکه نیاز به تعامل با کاربر باشد مورد سوءاستفاده قرار گیرد. تمامی نسخه‏ های Samba از نسخه‏ ی ۳.۵ به بعد همگی آسیب‏ پذیر هستند.

چه کسانی در معرض خطر قرار دارند؟
بسیاری از سیستم‏ های ذخیره ‏سازی شبکه در یک شرکت (NAS)، روترهای خانگی و سایر دستگاه‏ های IOT که برای اشتراک‏ گذاری فایل ‏ها Samba را اجرا می‎کنند. برخی از آنها فقط از داخل شبکه قابل دسترسی هستند، و این در حالی است که بقیه به اینترنت دسترسی دارند. در حال حاضر بیش از ۱۱۰,۰۰۰ دستگاه به اینترنت دسترسی دارند که ظاهراً نسخه‏ های آسیب‎پذیر Samba را اجرا می‏ نمایند.
در آن زمان نزدیک به ۴۸۵,۰۰۰ کامپیوتر متصل به اینترنت یافت شد که Samba بر روی آنها فعال بود و در معرض خطر قرار داشتند، و محققان پیش‏ بینی کردند که حملات مبتنی بر SambaCry نیز این پتانسیل را دارند که درست مانند باج‏ افزار WannaCry به صورت گسترده منتشر گردند.
به نظر می‏ رسد که این پیش ‏بینی کاملاً درست بوده است، چرا که هانی‏ پات‏ های راه ‏اندازی شده توسط تیم محققان آزمایشگاه Kaspersky یک کمپین بدافزاری کشف کردند که از آسیب‏ پذیری SambaCry سوءاستفاده می‏کرد تا کامپیوترهای دارای سیستم‏ عامل لینوکس را توسط نرم‏ افزار استخراج‏ کننده ‏ی پول دیجیتال  آلوده کند.
یک محقق امنیتی دیگر به نام Omri Ben Bassat به صورت کاملاً مستقل همان کمپین را کشف کرد و آن را " EternalMiner" نام نهاد.
به گفته ‏ی محققان، گروهی از هکرهای ناشناس تنها یک هفته پس از اینکه نقص Samba به صورت عمومی افشا شد اقدام به سرقت از کامپیوترهای لینوکسی نمودند،  این مهاجمان یک نسخه‏ ی به روزرسانی شده از " CPUminer" را که یک نرم ‏افزار استخراج ‏کننده ‏ی پول دیجیتال است بر روی سیستم قربانی نصب می ‏کردند. این نرم‏ افزار پول دیجیتال "Monero" را استخراج می‏ نماید.
مهاجمان پس از تسخیر نمودن سیستم ‏های آسیب‏ پذیر با استفاده از آسیب‏ پذیری SambaCry، دو Payload را بر روی سیستم‏ های قربانیان اجرا می‏ کنند:

•    INAebsGB.so : یک reverse-shell که امکان دسترسی از راه دور را برای مهاجمان فراهم می ‏آورد.
•    cblRWuoCc.so: یک درِ پشتی که شامل نرم‏ افزارهای استخراج‏ کننده‏ ی پول دیجیتال مانند    CPUminer  است.
محققان کسپراسکی می‏ گویند: "از طریق reverse-shell باقی‏ مانده در سیستمِ مهاجمان می ‏توانند پیکربندی استخراج ‏کننده‏ را که در حال حاضر در حال اجرا یا آلوده نمودن سیستم قربانی با بدافزارهای دیگر است تغییر دهند."
نرم ‏افزارهای استخراج‏ کننده‏ ی پول دیجیتال می ‏توانند یک سرمایه‏ گذاری پرهزینه باشند، چرا که به توان محاسباتی عظیمی نیاز دارند، اما چنین بدافزارهایی با اجازه دادن به مهاجم برای استفاده از منابع محاسباتی سیستم‏ های قربانی کار را برای مجرمان سایبری راحت کرده ‏اند.
اگر شما اخبار مربوط به امنیت را دنبال کرده باشید، باید از Adylkuzz  مطلع باشید، یک بدافزار استخراج ‏کننده‏ ی پول دیجیتال که دو هفته قبل از منتشر شدن حملات باج ‏افزار WannaCry از آسیب ‏پذیری SMB ویندوز استفاده می ‏کرد.
بدافزار Adylkuzz نیز با بهره‏ گیری از منابع محاسباتی سیستم ‏های ویندوزی تسخیر شده‏ Monero را استخراج می‏ کرد.

مهاجمان پشت حمله‏ ی CPUminer که مبتنی بر SambaCry است در حال حاضر ۹۸ XMR به دست آوردند که معادل با ۵,۳۸۰ دلار امروزی بوده و این رقم با افزایش تعداد سیستم ‏های لینوکسی تسخیر شده مدام در حال افزایش است.

محققان می‏ گویند: "روز اول آنها حدود ۱ XMR به دست آوردند، اما در طی هفته‏ ی گذشته توانستند روزانه ۵ XMR به دست آورند."

SambaCry در مقایسه با WannaCry

این آسیب ‏پذیری که توسط WannaCry (EternalBlue) مورد سوءاستفاده قرار گرفت نیز بیش از ۵ سال سن دارد، به طور گسترده در پروتکل SMB مورد استفاده قرار گرفته و بدون اینکه نیاز به محرکی از جانب کاربر داشته باشد به کد اجازه‏ ی اجرا شدن می ‏دهد.

با این حال تفاوت‏ هایی بین این دو وجود دارد. مهم ‏ترین تفاوت آنها این است که EternalBlue یک آسیب‌‎پذیری از قبل احرازِ هویت شده است در حالی که آسیب‎پذیری Samba برای داشتن یک اعتبارنامه‏ ی معتبر که بتواند اشتراکِ قابل نوشتن داشته باشد به مهاجم نیاز دارد، و این امر احتمال "Wormable" بودن را کاهش می‏ دهد. با این وجود مهاجم می‏ تواند اعتبارات مورد نیاز را به دست آورد و یک پلتفرم همه کاره فراهم کند.

این در حالی است که تشخیص و بازسازی EternalBlue به دلایلی از قبیل در پشتیِ DoublePulsar

ساده است اما تشخیص اکسپلویت ‏های صورت گرفته توسط آسیب‎پذیری جدید Samba بسیار پیچیده است. از آنجا که اکسپلویت نمودن آسیب‏ پذیری Samba بی اهمیت است انتظار می ‏رود که طیف وسیعی از این اکسپلویت‏ ها مشاهده گردد.

آنچه که شما باید جهت محافظت از شبکه ‏ی خود انجام دهید

• samba یک وصله‏ ی امنیتی برای نسخه‏ های ۴.۴ به بعد ارائه نموده است:

https://www.samba.org/samba/history/security.html

• جهت اطلاع از نحوه ‏ی ایمن ‏سازی نسخه‏ های مختلف لینوکس می‏ توانید به لینک زیر مراجعه نمایید:

https://www.tecmint.com/fix-sambacry-vulnerability-cve-2017-7494-in-linux/‎

راه‎حل

اگر سرور Sambaی شما آسیب‎پذیر باشد و وصله‏ ی امنیتی و ارتقاء دادن پاسخ گو نباشد دو راه ‏حل وجود دارد:

۱. خط زیر را به فایل پیکربندی Samba اضافه نمایید:

nt pipe support = no

سپس دایمون SMB شبکه را ریستارت نمایید (به نام "smbd"). این تغییر برخی از توابع مورد انتظار، برای سیستم‏ های ویندوزی را غیرفعال خواهد کرد.

۲. استفاده از SELinux برای جلوگیری از اجرا

به عنوان مثال سیاست پیش‏ فرض RHEL مانع اکسپلویت می‏ گردد.

اگر شما از نسخه ‏ی لینوکس با SELinux فعال شده استفاده نمی‏ کنید، یک راه‏ حل ساده می‏ تواند نصب اشتراک ‏های قابل نوشتنِ میزبانِ فایل سیستم با یک گزینه ‏ی " noexec" باشد.

منبع:          

http://thehackernews.com/2017/06/linux-samba-vulnerability.html

https://www.guardicore.com/2017/05/samba/‎

https://www.tecmint.com/fix-sambacry-vulnerability-cve-2017-7494-in-linux/‎