不只是Windows,Linux版的勒索病毒也来了

暴虐全球Windows设备的“永恒之蓝”讹诈病毒攻击余波未平,一个Linux版的“永恒之蓝”又呈现了。360官方博客近日紧急发布了Samba远程代码执行破绽警报(CVE-2017-7494)。

Samba是在Linux和Unix系统上完成SMB协议的开源软件,正普遍应用在Linux效劳器、NAS网络存储产品以及路由器等各种IoT智能硬件上。

与Windows相比,更容易被攻击

360方面介绍,与Windows版的“永恒之蓝”相比,Samba漏洞相对比较简单、更容易被攻击,而且同样威力巨大,可以远程执行任意代码。其漏洞攻击工具也已在网上公开,很可能被不法分子恶意利用。

对普通个人用户来说,Samba漏洞会对各种常用的智能硬件造成严重威胁。例如,全球流行的路由器开源固件OpenWrt就受到Samba漏洞影响,可能导致路由器被黑客控制,劫持或监听网络流量,甚至给上网设备植入木马。此外,包括智能电视等设备中,Samba文件共享也是常用的服务。

针对各类智能硬件用户,建议用户及时关闭路由器、智能电视等设备的Samba文件共享服务,等待固件进行安全更新后再开启Samba。

针对使用Samba的服务器管理员,360方面也提出了安全更新建议。

技术分析

如官方所描述,该漏洞只需要通过一个可写入的Samba用户权限就可以提权到samba所在服务器的root权限(samba默认是root用户执行的)。

从Patch来看的话,is_known_pipename函数的pipename中存在路径符号会有问题:

除了Windows系统,Linux版的勒索病毒也来了 | 5月26日坏消息榜

再延伸下smb_probe_module函数中就会构成公告里说的加载攻击者上传的dll来恣意执行代码了:

除了Windows系统,Linux版的勒索病毒也来了 | 5月26日坏消息榜

 

马哥学习交流群

马哥教育-Linux学习-1群 485374463

马哥教育-Linux学习-2群 339184057

相关新闻

历经多年发展,已成为国内好评如潮的Linux云计算运维、SRE、Devops、网络安全、云原生、Go、Python开发专业人才培训机构!