هشدار! هکرها با استفاده از " SambaCry Flaw" هک کردن سیستم های لینوکسی را آغاز نموده اند
دو هفتهی پیش یک آسیبپذیری هفت ساله در نرمافزار شبکهی Samba(مشهورترین سرویس اشتراکگذاری فایل در سیستم های لینوکسی) شناسایی شد که به نفوذگران این امکان را میداد که از راه دور کنترل سامانه های لینوکس و یونیکس را در دست بگیرند.
این آسیب پذیری که با شناسه ی CVE-2017-7494 شناخته شده است مهاجم را قادر می سازد که با دسترسی Write معتبر به یک اشتراک فایل بتواند فایل باینری دلخواه را که با مجوز Samba اجرا می گردد آپلود و اجرا نماید. این نقص می تواند تنها با چند خط کد بدون اینکه نیاز به تعامل با کاربر باشد مورد سوءاستفاده قرار گیرد. تمامی نسخه های Samba از نسخه ی ۳.۵ به بعد همگی آسیب پذیر هستند.
چه کسانی در معرض خطر قرار دارند؟
بسیاری از سیستم های ذخیره سازی شبکه در یک شرکت (NAS)، روترهای خانگی و سایر دستگاه های IOT که برای اشتراک گذاری فایل ها Samba را اجرا میکنند. برخی از آنها فقط از داخل شبکه قابل دسترسی هستند، و این در حالی است که بقیه به اینترنت دسترسی دارند. در حال حاضر بیش از ۱۱۰,۰۰۰ دستگاه به اینترنت دسترسی دارند که ظاهراً نسخه های آسیبپذیر Samba را اجرا می نمایند.
در آن زمان نزدیک به ۴۸۵,۰۰۰ کامپیوتر متصل به اینترنت یافت شد که Samba بر روی آنها فعال بود و در معرض خطر قرار داشتند، و محققان پیش بینی کردند که حملات مبتنی بر SambaCry نیز این پتانسیل را دارند که درست مانند باج افزار WannaCry به صورت گسترده منتشر گردند.
به نظر می رسد که این پیش بینی کاملاً درست بوده است، چرا که هانی پات های راه اندازی شده توسط تیم محققان آزمایشگاه Kaspersky یک کمپین بدافزاری کشف کردند که از آسیب پذیری SambaCry سوءاستفاده میکرد تا کامپیوترهای دارای سیستم عامل لینوکس را توسط نرم افزار استخراج کننده ی پول دیجیتال آلوده کند.
یک محقق امنیتی دیگر به نام Omri Ben Bassat به صورت کاملاً مستقل همان کمپین را کشف کرد و آن را " EternalMiner" نام نهاد.
به گفته ی محققان، گروهی از هکرهای ناشناس تنها یک هفته پس از اینکه نقص Samba به صورت عمومی افشا شد اقدام به سرقت از کامپیوترهای لینوکسی نمودند، این مهاجمان یک نسخه ی به روزرسانی شده از " CPUminer" را که یک نرم افزار استخراج کننده ی پول دیجیتال است بر روی سیستم قربانی نصب می کردند. این نرم افزار پول دیجیتال "Monero" را استخراج می نماید.
مهاجمان پس از تسخیر نمودن سیستم های آسیب پذیر با استفاده از آسیب پذیری SambaCry، دو Payload را بر روی سیستم های قربانیان اجرا می کنند:
• INAebsGB.so : یک reverse-shell که امکان دسترسی از راه دور را برای مهاجمان فراهم می آورد.
• cblRWuoCc.so: یک درِ پشتی که شامل نرم افزارهای استخراج کننده ی پول دیجیتال مانند CPUminer است.
محققان کسپراسکی می گویند: "از طریق reverse-shell باقی مانده در سیستمِ مهاجمان می توانند پیکربندی استخراج کننده را که در حال حاضر در حال اجرا یا آلوده نمودن سیستم قربانی با بدافزارهای دیگر است تغییر دهند."
نرم افزارهای استخراج کننده ی پول دیجیتال می توانند یک سرمایه گذاری پرهزینه باشند، چرا که به توان محاسباتی عظیمی نیاز دارند، اما چنین بدافزارهایی با اجازه دادن به مهاجم برای استفاده از منابع محاسباتی سیستم های قربانی کار را برای مجرمان سایبری راحت کرده اند.
اگر شما اخبار مربوط به امنیت را دنبال کرده باشید، باید از Adylkuzz مطلع باشید، یک بدافزار استخراج کننده ی پول دیجیتال که دو هفته قبل از منتشر شدن حملات باج افزار WannaCry از آسیب پذیری SMB ویندوز استفاده می کرد.
بدافزار Adylkuzz نیز با بهره گیری از منابع محاسباتی سیستم های ویندوزی تسخیر شده Monero را استخراج می کرد.
مهاجمان پشت حمله ی CPUminer که مبتنی بر SambaCry است در حال حاضر ۹۸ XMR به دست آوردند که معادل با ۵,۳۸۰ دلار امروزی بوده و این رقم با افزایش تعداد سیستم های لینوکسی تسخیر شده مدام در حال افزایش است.
محققان می گویند: "روز اول آنها حدود ۱ XMR به دست آوردند، اما در طی هفته ی گذشته توانستند روزانه ۵ XMR به دست آورند."
SambaCry در مقایسه با WannaCry
این آسیب پذیری که توسط WannaCry (EternalBlue) مورد سوءاستفاده قرار گرفت نیز بیش از ۵ سال سن دارد، به طور گسترده در پروتکل SMB مورد استفاده قرار گرفته و بدون اینکه نیاز به محرکی از جانب کاربر داشته باشد به کد اجازه ی اجرا شدن می دهد.
با این حال تفاوت هایی بین این دو وجود دارد. مهم ترین تفاوت آنها این است که EternalBlue یک آسیبپذیری از قبل احرازِ هویت شده است در حالی که آسیبپذیری Samba برای داشتن یک اعتبارنامه ی معتبر که بتواند اشتراکِ قابل نوشتن داشته باشد به مهاجم نیاز دارد، و این امر احتمال "Wormable" بودن را کاهش می دهد. با این وجود مهاجم می تواند اعتبارات مورد نیاز را به دست آورد و یک پلتفرم همه کاره فراهم کند.
این در حالی است که تشخیص و بازسازی EternalBlue به دلایلی از قبیل در پشتیِ DoublePulsar
ساده است اما تشخیص اکسپلویت های صورت گرفته توسط آسیبپذیری جدید Samba بسیار پیچیده است. از آنجا که اکسپلویت نمودن آسیب پذیری Samba بی اهمیت است انتظار می رود که طیف وسیعی از این اکسپلویت ها مشاهده گردد.
آنچه که شما باید جهت محافظت از شبکه ی خود انجام دهید
- samba یک وصله ی امنیتی برای نسخه های ۴.۴ به بعد ارائه نموده است:
https://www.samba.org/samba/history/security.html
- جهت اطلاع از نحوه ی ایمن سازی نسخه های مختلف لینوکس می توانید به لینک زیر مراجعه نمایید:
https://www.tecmint.com/fix-sambacry-vulnerability-cve-2017-7494-in-linux/
راهحل
اگر سرور Sambaی شما آسیبپذیر باشد و وصله ی امنیتی و ارتقاء دادن پاسخ گو نباشد دو راه حل وجود دارد:
۱. خط زیر را به فایل پیکربندی Samba اضافه نمایید:
nt pipe support = no
سپس دایمون SMB شبکه را ریستارت نمایید (به نام "smbd"). این تغییر برخی از توابع مورد انتظار، برای سیستم های ویندوزی را غیرفعال خواهد کرد.
۲. استفاده از SELinux برای جلوگیری از اجرا
به عنوان مثال سیاست پیش فرض RHEL مانع اکسپلویت می گردد.
اگر شما از نسخه ی لینوکس با SELinux فعال شده استفاده نمی کنید، یک راه حل ساده می تواند نصب اشتراک های قابل نوشتنِ میزبانِ فایل سیستم با یک گزینه ی " noexec" باشد.
منبع:
http://thehackernews.com/2017/06/linux-samba-vulnerability.html
https://www.guardicore.com/2017/05/samba/
https://www.tecmint.com/fix-sambacry-vulnerability-cve-2017-7494-in-linux/