SambaCry: Vulnerabilidade afeta servidores Linux. O que eu preciso saber?

Na última semana foi reportada uma vulnerabilidade crítica (CVE-2017-7494 ) que permite execução remota de código no servidor SAMBA.

O SAMBA é um “software servidor” para Linux (e outros sistemas baseados em Unix) que permite o gerenciamento e compartilhamento de recursos em redes formadas por computadores com o Windows. Assim, é possível usar o Linux como servidor de arquivos, servidor de impressão, entre outros, como se a rede utilizasse servidores Windows, além de implementar as mesmas funcionalidades de um domínio Active Directory.

Trata-se de uma ferramenta muito utilizada em todo o mundo, para garantir a interoperabilidade entre as plataformas Unix e Windows.

A vulnerabilidade

A vulnerabilidade já existe há 7 anos e está sendo explorada ativamente pelos hackers. Ela afeta sistemas que tenham instalado o Samba 3.5 (lançado em 2010) e todas as versões posteriores.

Uma nota importante é que ela não faz parte da backdoor DoublePulsar, mas já foram lançados exploits (como este), inclusive para o Metasploit e circulam boatos de que um ransomware já foi escrito. Tal como o WannaCry, também o SambaCry (nome não oficial) aproveita das fragilidades do protocolo SMB.

Condições para que a vulnerabilidade seja explorada

  1. O aplicativo “smbd” esteja rodando em uma porta acessível para o atacante (tcp/445)
  2. A opção “nt pipe support” esteja habilitada (é uma opção default) no arquivo de configuração “smb.conf”
  3. O atacante deve possuir acesso de escrita ao compartilhamento

É possível ocorrer uma epidemia como o WannaCry?

Não é possível prevenir. Mas uma busca rápida no Shodan (“port:445 !os:windows”) exibe aproximadamente 1 milhão de sistemas que não são Windows com a porta tcp/445 aberta para a Internet.

Com o exploit em mãos fica mais fácil criar Ransomwares ou outros tipos de ameaças.

Como atualizar o meu sistema Samba no Debian?

Esta falha já foi corrigida, mas é preciso atualizar com urgência os sistemas afetados. No caso do Debian, você deve adicionar os repositórios de segurança (se não já estiverem habilitados). Edite o arquivo “/etc/apt/sources.list” e adicione duas linhas abaixo:

Ah…de brinde, segue o link de um script para o NMAP que detecta se seus sistemas estão vulneráveis.

 Um forte abraço e até a próxima!

Este artigo foi lido 3753 vezes!

Escrito por André L.R.Ferreira

Diretor da NETDEEP. Atua há 20 anos no desenvolvimento de produtos e tecnologias de Segurança de Dados para instituições privadas e públicas.

Deixe o seu comentário

netdeep