26.05.2017

Рекомендации по нейтрализации угрозы, связанной с уязвимостью ПО Samba Networking Software

Ставшая известной 25 мая 2017 года уязвимость CVE-2017-7494 позволяет удаленно запускать исполняемый код на уязвимых хостах. Уязвимость использует недостатки реализации ПО Samba.

Уязвимыми являются версии Samba 3.5.0 (релиз выпущен в 2010 году) и новее.

Samba используется для предоставления общего доступа к ресурсам, расположенным на машинах под управлением ОС Linux / Unix, для пользователей Windows. Данное ПО включено или по факту используется в большом количестве дистрибутивов на основе Linux / Unix, в том числе NAS и сетевом оборудовании.

На хостах с установленным уязвимым ПО возможна удаленная загрузка разделяемой библиотеки на ресурс, для которого разрешена запись файлов, с последующей загрузкой и исполнением данной библиотеки, что позволяет  выполнить  вредоносный код.

Для демонстрации эксплуатации уязвимости CVE-2017-7494 создано несколько эксплойтов (например, https://github.com/omri9741/cve-2017-7494), а также модуль популярного ПО для тестирования на проникновение Metasploit, что дает возможность использования данного эксплойта (с нужными модификациями) любому пользователю с минимальными навыками.

Превентивные меры:

  1. Заблокировать сетевой доступ из сети Интернет в ЛВС по порту TCP 139, 445. Предварительно необходимо убедиться, что данная блокировка не нарушит критичные бизнес-процессы организации.
  2. Произвести сканирование ресурсов сети на предмет наличия уязвимости CVE-2017-7494, предварительно обновив базы данных уязвимостей сканера защищенности. Необходимо учитывать, что в базы данных некоторых сканеров данная уязвимость может быть не включена на момент сканирования.
  3. Установить патчи для поддерживаемых версий ПО Samba (выпущены и доступны на https://www.samba.org/samba/history/security.html для версий 4.6.3, 4.5.9, 4.4.13), либо обновить ПО до последнего релиза, не содержащего данную уязвимость. При использовании специальных ОС (например, NAS) необходимо загрузить обновление или патч с сайта производителя.
  4. Для неподдерживаемых версий, а также при отсутствии возможности обновления или патча ПО необходимо установить параметру «nt pipe support» значение «no», отредактировав файл smb.conf: 
    nt pipe support = no 
    Необходимо учитывать, что это может нарушить часть функционала ПО для пользователей Windows
  5. Произвести обновление баз сигнатур средств обнаружения вторжений

Команда экспертов «Информзащиты» готова проконсультировать все компании, обеспокоенные сложившейся ситуацией, по вопросам рисков и угроз, а также оперативно обеспечить защиту их инфраструктуры. 

http://www.infosec.ru/about/contacts

По услугам технической поддержки и сопровождения:

тел: +7 (495) 981-9222, +7 (495) 980-2345 доб. 06
Email: support@itsoc.ru

По услуге SOC — Security Operation Center:

тел: +7 (495) 988-6200          
Email: soc@itsoc.ru