漏洞预警|Samba远程代码执行漏洞,影响7年前版本

Samba是Linux和UNIX系统的SMB协议服务软件,可以实现与其他操作系统(如:微软Windows操作系统)进行文件系统、打印机和其他资源的共享。此次漏洞最早影响到7年前的版本,黑客可以利用漏洞进行远程代码执行。

漏洞编号

CVE-2017-7494

影响版本

Samba 3.5.0到4.6.4/4.5.10/4.4.14的中间版本

漏洞简介

攻击者利用漏洞可以进行远程代码执行,具体执行条件如下:

1. 服务器打开了文件/打印机共享端口445,让其能够在公网上访问

2. 共享文件拥有写入权限

3. 恶意攻击者需猜解Samba服务端共享目录的物理路径

满足以上条件时,由于Samba能够为选定的目录创建网络共享,当恶意的客户端连接上一个可写的共享目录时,通过上传恶意的链接库文件,使服务端程序加载并执行它,从而实现远程代码执行。根据服务器的情况,攻击者还有可能以root身份执行。

漏洞影响

Samba漏洞让人联想到前阶段席卷全球的WannaCry漏洞,研究人员怀疑该漏洞同样具有传播特性。

在WannaCry所利用的漏洞刚刚出现时,很多人认为它不会造成很大的影响,因为大部分人不会把文件/打印机分享端口开放在公网,但之后持有这种想法的人被迅速打脸,WannaCry病毒造成的危害超出了大家的想象。

而根据Phobus安全公司创始人Dan Tentler称,有477,000安装了Samba的计算机暴露了445端口,虽然我们不知道有多少运行着可以被攻击的Samba版本。Tentler引用的是Shodan返回的搜索结果。Rapid7的研究人员同样做了统计,他们检测到有110,000台计算机运行着官方不再提供支持的Samba版本,也就是说不会有针对这些版本的补丁。因此,此次Samba漏洞能够造成的影响可想而知。

不过与Windows不同,Samba的SMB功能默认不打开,必须手动打开。

一种可能的攻击场景是,黑客先攻击家庭网络中的NAS设备,因为NAS更可能将文件分享端口暴露于公网,随后黑客再进一步攻击局域网。

Exploit

msf已经新增了专门的模块,可以使用这个msf模块进行检测。

漏洞修复

最安全的方法还是打补丁或者升级到Samba 4.6.4/4.5.10/4.4.14任意版本。

如果暂时不能升级版本或安装补丁,可以使用临时解决方案:

在smb.conf的[global]板块中添加参数:nt pipe support = no

然后重启smbd服务。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-05-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

漏洞预警 | Samba远程代码执行漏洞(CVE-2017-7494)

Samba是在Linux和UNIX系统上实现SMB协议的一个软件。2017年5月24日Samba发布的4.6.4版本修复了一个严重的远程代码执行漏洞。漏洞编号为...

2249
来自专栏前端开发

手把手教你搭建一个属于自己的网站

网站也可以理解为web应用程序,只不过无需用户下载,只要有网络,随时随地都能访问。

1.8K6
来自专栏晨星先生的自留地

提权(1)信息收集

3674
来自专栏三丰SanFeng

浅谈DNS

什么叫域名解析 域名解析是把域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站一种服务。IP地址是网络上标识站点的数字地址,为了方便记忆,采用域名来...

7637
来自专栏编程

(4)Superset权限使用场景

如前文所述,Superset初始化权限之后,创建5个角色,分别为Admin,Alpha,Gamma,sql_lab以及Public。Admin,Alpha和Ga...

2.2K10
来自专栏码神联盟

碎片化 | 第六阶段-04-搭建nginx和Tomcat集群环境-视频

如清晰度低,可转PC网页观看高清版本: http://v.qq.com/x/page/g0500ly03ud.html Ngnix+Tomcat集群 1:修改...

2777
来自专栏NetCore

Health Check in eShop -- 解析微软微服务架构Demo(五)

引言 What is the Health Check     Health Check(健康状态检查)不仅是对自己应用程序内部检测各个项目之间的健康状态(各项...

2315
来自专栏张戈的专栏

SEO分享:让百度删除不想收录的域名或快照的最快方法

个别网站可能会出现以下类似困扰: ①、百度收录了自己不想收录的域名,造成内容重复,比如张戈博客,百度近一半的收录是 www 的域名,而且收录的内容还是重复的!实...

1K7
来自专栏SAP梦心的SAP分享

【SAP业务模式】之ICS(七):IDOC配置

     这是ICS业务模式系列的最后一篇了,主要讲解IDOC的配置。      一、指定EDI传输的供应商逻辑地址      事务代码:WEL1 ?     ...

2147
来自专栏FreeBuf

真实网站劫持案例分析

1. 概述 上段时间一直忙于处理大会安全保障与应急,借助公司云悉情报平台,发现并处置几十起网站被劫持的情况。对黑客SEO技术颇有感觉。正好这段时间有时间,把以前...

8795

扫码关注云+社区

领取腾讯云代金券