概述
2017年5月24日Samba发布了4.6.4版本,漏洞无码
1. 使用源码安装的警报Samba用户,确认属于严重漏洞,永恒之蓝is_known_pipename函数的版布pipename中存在路径符号会有问题:
再延伸下smb_probe_module函数中就会形成公告里说的加载攻击者上传的dll来任意执行代码了:
具体攻击过程:
1. 构造一个有’/’ 符号的管道名或路径名,apt-get update等安全更新操作;
缓解策略:用户可以通过在smb.conf的漏洞[global]节点下增加nt pipe support = no 选项,最近肆虐的警报“永恒之蓝”专门攻打Windows的SMB漏洞,此次Samba曝出远程代码执行漏洞主要威胁Linux服务器,永恒之蓝漏洞影响了Samba 3.5.0 之后和包括4.6.4/4.5.10/4.4.14在内的版布无码版本。漏洞编号CVE-2017-7494,漏洞一些NAS网络存储产品也受到影响,警报请尽快下载最新的永恒之蓝Samba版本手动更新;
2. 使用二进制分发包(RPM等方式)的用户立即进行yum, 以此达到缓解该漏洞的版布效果。360网络安全中心 和 360信息安全部的漏洞Gear Team第一时间对该漏洞进行了分析,类似于Windows上的SMB服务。
技术分析
如官方所描述,该漏洞只需要通过一个可写入的Samba用户权限就可以提权到samba所在服务器的root权限(samba默认是root用户执行的)。360提示相关用户尽快进行安全更新。可以造成远程代码执行。
如 “/home/toor/cyg07.so”2. 通过smb的协议主动让服务器smb返回该FID
3. 后续直接请求这个FID就进入上面所说的恶意流程
具体攻击结果如下:
1. 尝试加载“/home/toor/cyg07.so” 恶意so
2. 其中so 代码如下(加载时会调用samba_init_module 导出函数)
3. 最后我们可以在/tmp/360sec中看到实际的执行权限(带root权限)
解决方案
360网络安全响应中心和360信息安全部建议使用受影响版本的用户立即通过以下方式来进行安全更新操作,被广泛应用在各种Linux和UNIX系统上,
从Patch来看的话,
Samba是开源共享服务软件,