SambaCry torna a mietere vittime: un’analisi di Trend Micro evidenzia come tale vulnerabilità venga sfruttata per la propagazione di un nuovo malware per Linux denominato ShellBind .
Gli asset vulnerabili sono perciò tutti i NAS e i sistemi con versioni di Samba inferiori ai rilasci 4.6.4, 4.5.10 e 4.4.14, quindi vulnerabili alla CVE-2017-7494 .
Avevamo conosciuto SambaCry nel mese di maggio: pubblicata da un hacker white-hat, permetteva il caricamento non autorizzato di file binari e la loro esecuzione mediante una richiesta IPC opportunamente forgiata.
Il nome, scelto ad arte, richiama il ransomware WannaCry che era stato diffuso pochi giorni prima della pubblicazione di tale vulnerabilità; analogamente l’exploit utilizzato era stato denominato EternalRed sulla falsa riga dell’ EternalBlue esfiltrato su una pubblicazione di Wikileaks nell’ambito di Vault7.
Tale exploit, facilmente utilizzabile per condurre attacchi automatici, è disponibile anche sul repository del framework Metasploit ; recentemente, infatti, non sono stati pochi i malware che hanno utilizzato come vettore la vulnerabilità SambaCry per infettare sistemi basati su Linux, principalmente con l’obiettivo di trasformare i sistemi vulnerabili in miner di criptovalute.
Tra questi, il nuovo ELF.SHELLBIND.A : identificato per la prima volta il 3 luglio, ha come obiettivo quello di fornire una backdoor agli attaccanti mediante l’esposizione di un’interfaccia a riga di comando. Il malware si presenta come un binario compilato in formato so (shared object), che viene caricato su una condivisione Samba del sistema vulnerabile. A questo punto entra in gioco SambaCry : l’attaccante deve indovinare il percorso assoluto locale del file al fine di effettuare la chiamata IPC di cui sopra così da far caricare la libreria in memoria.
Come riportato nell’
analisi di Trend Micro , il malware eseguirà quindi la funzione change_to_root
(ricordiamo che per necessità funzionali il demone Samba è sempre eseguito con i privilegi di superutente e può eventualmente effettuare il downgrade dei privilegi nella gestione delle varie condivisioni), dopodiché effettuerà il detach dal processo padre mediante la funzione detach_from_parent
e demonizzerà se stesso proseguendo con l’esecuzione in background.
A seguito di un messaggio di knock, effettuato mediante una richiesta http HEAD verso un Command&Control in Asia, il malware si metterà in ascolto sulla porta 61422, mettendo a disposizione una shell protetta dalla password ‘Q8pGZFS7N1MObJHf’.
Per difendersi da attacchi effettuabili tramite la vulnerabilità SambaCry è doveroso aggiornare Samba; le ultime release dei rami 4.4.x, 4.5.x 4.6.x sono infatti state patchate. Nel caso in cui questa operazione non sia fattibile, è possibile mitigare l’effetto della vulnerabilità tramite l’aggiunta della linea
nt pipe support = no
nel file di configurazione di Samba.
Evitare di esporre un servizio di tale portata sulla rete Internet è senza dubbio la scelta migliore, ma non contribuisce ad evitare eventuali attacchi locali; l’adozione di una politica firewall conservativa di tipo deny all , così come l’utilizzo di meccanismi per la segregazione logica dello stack di rete (network namespaces), invece, possono essere strategie senz’altro valide applicabili per la prevenzione generica nei confronti di backdoor di questo tipo.
Patrizio Tufarolo