不只是Windows,Linux版的勒索病毒也來了
暴虐全球Windows設備的“永恒之藍”訛詐病毒攻擊余波未平,一個Linux版的“永恒之藍”又呈現了。360官方博客近日緊急發布了Samba遠程代碼執行破綻警報(CVE-2017-7494)。
Samba是在Linux和Unix系統上完成SMB協議的開源軟件,正普遍應用在Linux效勞器、NAS網絡存儲產品以及路由器等各種IoT智能硬件上。
與Windows相比,更容易被攻擊
360方面介紹,與Windows版的“永恒之藍”相比,Samba漏洞相對比較簡單、更容易被攻擊,而且同樣威力巨大,可以遠程執行任意代碼。其漏洞攻擊工具也已在網上公開,很可能被不法分子惡意利用。
對普通個人用戶來說,Samba漏洞會對各種常用的智能硬件造成嚴重威脅。例如,全球流行的路由器開源固件OpenWrt就受到Samba漏洞影響,可能導致路由器被黑客控制,劫持或監聽網絡流量,甚至給上網設備植入木馬。此外,包括智能電視等設備中,Samba文件共享也是常用的服務。
針對各類智能硬件用戶,建議用戶及時關閉路由器、智能電視等設備的Samba文件共享服務,等待固件進行安全更新后再開啟Samba。
針對使用Samba的服務器管理員,360方面也提出了安全更新建議。
技術分析
如官方所描述,該漏洞只需要通過一個可寫入的Samba用戶權限就可以提權到samba所在服務器的root權限(samba默認是root用戶執行的)。
從Patch來看的話,is_known_pipename函數的pipename中存在路徑符號會有問題:
再延伸下smb_probe_module函數中就會構成公告里說的加載攻擊者上傳的dll來恣意執行代碼了:
馬哥學習交流群
?