Lembra do SambaCry?

Há quase dois meses, informamos sobre uma vulnerabilidade crítica de execução de código remoto de 7 anos no software de rede Samba, permitindo que um hacker controle remotamente máquinas Linux e Unix vulneráveis.

Nós apelidamos a vulnerabilidade como SambaCry, por causa de suas semelhanças com a vulnerabilidade SMB do Windows explorada pelo WannaCry ransomware que causou estragos em todo o mundo há mais de dois meses.

Apesar de ter sido corrigido no final de maio a vulnerabilidade está sendo alavancada por uma nova peça de malware para direcionar dispositivos da Internet de Coisas (IoT), particularmente dispositivos de Armazenamento em rede (NAS), disseram pesquisadores da Trend Micro.

Para aqueles que não estão familiarizados: Samba é um software de código aberto (reimplementação do protocolo de rede SMB/CIFS) que oferece servidores Linux/Unix com serviços de impressão e arquivos baseados no Windows e é executado na maioria dos sistemas operacionais, incluindo Linux, UNIX, IBM System 390 e OpenVMS.

Pouco depois da revelação pública de sua existência a vulnerabilidade do SambaCry (CVE-2017-7494) foi explorada principalmente para instalar o software de mineração de criptografia – “CPUminer” que minera a moeda digital “Monero” em sistemas Linux.

No entanto, a última campanha de malware envolvendo o SambaCry detectada por pesquisadores da Trend Micro em julho destina-se principalmente a dispositivos NAS usados por pequenas e médias empresas.

SHELLBIND Malware Exploits SambaCry para dispositivos NAS

Denominado SHELLBIND, o malware funciona em várias arquiteturas, incluindo MIPS, ARM e PowerPC sendo entregue como um arquivo de objeto compartilhado (.SO) para pastas públicas do Samba e carregado pela vulnerabilidade do SambaCry.

Uma vez implantado na máquina visada o malware estabelece comunicação com o servidor de comando e controle (C&C) dos atacantes localizado na África Oriental e modifica as regras do firewall para garantir que ele possa se comunicar com seu servidor.

Depois de estabelecer com êxito uma conexão o malware concede aos atacantes acesso ao dispositivo infectado e fornece-lhes um shell de comando aberto no dispositivo, para que eles possam emitir qualquer número e tipo de comandos do sistema e eventualmente assumir o controle do dispositivo.

Para encontrar os dispositivos afetados que usam o Samba, os atacantes podem aproveitar o mecanismo de pesquisa Shodan e escrever os arquivos de malware originais em suas pastas públicas.

“É bastante fácil encontrar dispositivos que usam o Samba em Shodan: procurar por porta 445 com uma sequência de ‘samba’ aparecerá uma lista de IP viável”, disseram os pesquisadores enquanto explicavam a falha.

“Um invasor simplesmente precisaria criar uma ferramenta que possa escrever automaticamente arquivos mal-intencionados para cada endereço IP na lista. Uma vez que eles escrevem os arquivos nas pastas públicas, os dispositivos com a vulnerabilidade SambaCry podem se tornar vítimas ELF_SHELLBIND.A”.

No entanto, não está claro o que os atacantes fazem com os dispositivos comprometidos e qual o motivo atual deles de compromete-los.

A vulnerabilidade do SambaCry é fácil de explorar e pode ser usada por atacantes remotos para carregar uma biblioteca compartilhada em um compartilhamento gravável, em seguida fazer com que o servidor carregue e execute o código mal-intencionado.

Os mantenedores do Samba já corrigiram o problema nas versões do Samba 4.6.4/4.5.10 e 4.4.14, é aconselhável que você atualize para as versões corrigidas ou atualizar as versões vulneráveis o mais rápido possível. É de extrema importância certificar que seus sistemas estejam executando a versão do Samba mais atualizada.

Além disso, os invasores precisam ter acesso gravável a uma localização compartilhada no sistema de destino para entregar o payload, que é outro fator atenuante que pode reduzir a taxa de infecção.

Fonte: thehackernews