SambaCry uderza w dyski sieciowe – i Twój NAS może już mieć furtkę

Odkryta w zeszłymmiesiącu luka w uniksowej/linuksowej implementacji protokołuSMB zaczyna zbierać swoje żniwo. Oczywiście nie chodzi tu o tekilka linuksowych desktopów. Opracowane przez cyberprzestępcówmalware uderza w podłączone do Internetu dyski sieciowe (NAS), wszczególności używane przez małe i średnie firmy. To na nichbowiem często pozostawia się publicznie dostępne katalogi, przezktóre można wgrać swoje pliki na dysk.

SambaCry uderza w dyski sieciowe – i Twój NAS może już mieć furtkę

20.07.2017 14:56

W nawiązaniu do słynnego ransomware WannaCry, ta podatność wSambie otrzymała nazwę SambaCry – WannaCry bazował przecież naexploicie oryginalnej windowsowej implementacji protokołu SMB.Porównywalnych do WannaCry, katastroficznych skutków SambaCry miećoczywiście nie będzie, ale na pewno może dać się we znaki.

Pierwszym zastosowaniem był botnet koparek kryptowaluty Monero(XMR): infekując podłączone do sieci linuksowe serwery, instalowałna nich oprogramowanie EternalMiner/CPUMiner. Jako że Monerowykorzystuje algorytm CryptoNight, zaprojektowany tak, byzminimalizować przewagę GPU i układów ASIC nad CPU, opłacalnośćwydobywania tej monety na serwerach bez kart graficznych, ale zwydajnymi procesorami jest bardzo duża.

Nowy szkodnik, korzystający z SambaCry, bierze na swój celprzede wszystkim przeróżne dyski sieciowe, działające podkontrolą linuksowych systemów operacyjnych. Otrzymał nazwęELF_SHELLBIND.A i dostępny jest na wszystkie popularne architekturyprocesorów wykorzystywane w NAS-ach, oprócz x86 także ARM, PowerPCi MIPS.

Złośliwe pliki .so w publicznym katalogu Samby (źródło: Trend Micro)
Złośliwe pliki .so w publicznym katalogu Samby (źródło: Trend Micro)

Dostarcza się go jako współdzielony obiekt (.so) do publiczniedostępnych folderów Samby. Po aktywacji, szkodnik modyfikuje regułyzapory sieciowej i ustawia połączenia z serwerem dowodzenia ikontroli zlokalizowanym gdzieś we Wschodniej Afryce. Po udanymnawiązaniu połączenia, przyznaje napastnikowi pełen dostęp dopowłoki urządzenia – tak że można wykorzystać je już doswoich celów.

Znaleźć podatne na atak NAS-y jest dziś łatwo – wyszukiwarkaInternetu Rzeczy Shodan, po podaniu jej ciągu „samba” i portu445 zwraca dziesiątki tysięcy adresów. Wystarczy zautomatyzowaćproces wgrywania na te adresy exploita i już – podatne urządzeniapadną ofiarą ELF_SHELLBIND.A.

Podstawowym problemem jest to, że mnóstwo NAS-ów pracuje nastarych wersjach firmware, stojąc gdzieś na półkach w firmachnieruszane od lat, zgodnie z dewizą „działa – nie ruszać”.Tymczasem wszystkie wersje Samby starsze od 4.6.4/4.5.10/4.4.14 sąna atak ten podatne. NAS owszem, wciąż będzie działał, ale tojuż nie będzie NAS niepilnującej aktualizacji oprogramowaniaofiary.

Więcej na ten temat znajdziecie na blogu TrendMicro.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (27)