এই সাম্বার নতুন দুর্বলতাটিকে ইতিমধ্যে "সাম্যাব্যাক্রি" বলা হচ্ছে, অন্যদিকে শোষিতরা নিজেরাই "চিরস্থায়ী লাল সাম্বা" উল্লেখ করেছে, টুইটারে (চাঞ্চল্যকরভাবে) ঘোষণা করেছে:
সাম্বা বাগ, ট্রিগার করার জন্য মেটাসস্প্লিট ওয়ান-লাইনারটি কেবল: সরল ক্রেট_পাইপ ("/ পাথ / টু / টার্গেট.সো")
সম্ভাব্যভাবে প্রভাবিত সাম্বা সংস্করণগুলি সাম্বা 3.5.0 থেকে 4.5.4 / 4.5.10 / 4.4.14 পর্যন্ত।
যদি আপনার সাম্বা ইনস্টলেশনটি বেলো বর্ণিত কনফিগারেশনের সাথে মিলিত হয় তবে ফিক্স / আপগ্রেড ASAP করা উচিত কারণ ইতিমধ্যে সেখানে শোষণ রয়েছে , অন্য পাইথন এবং
মেটাস্প্লিট মডিউলগুলিতে অন্য শোষণ রয়েছে।
আরও আকর্ষণীয়ভাবে যথেষ্ট, ইতিমধ্যে হাননেট প্রকল্পের একটি জানা হানিপোটে অ্যাড-অন রয়েছে , ডানিয়ায় ওয়ানা ক্রাই এবং সাম্বাক্রি প্লাগ-ইন উভয়ই ।
সাম্বা কান্নাকাটি ইতিমধ্যে (আব) আরও ক্রিপ্টো- খনিজদের "ইটার্নাল মাইনার" ইনস্টল করতে ব্যবহৃত হয়েছিল বা ভবিষ্যতে ম্যালওয়্যার ড্রপার হিসাবে ডাবল ডাউন হবে বলে মনে হচ্ছে ।
ক্যাসপারস্কি ল্যাব থেকে গবেষকদের দল দ্বারা প্রতিষ্ঠিত হানিপটগুলি একটি ম্যালওয়্যার ক্যাম্পেইন ধরেছে যা লিনাক্স কম্পিউটারকে ক্রিপ্টোকারেন্সি মাইনিং সফ্টওয়্যার দ্বারা সংক্রামিত করার জন্য সাম্বাক্রি দুর্বলতা কাজে লাগিয়েছে। অপর এক সিকিউরিটি গবেষক ওমরি বেন বাসাত স্বতন্ত্রভাবে একই অভিযান আবিষ্কার করেছিলেন এবং এর নাম দিয়েছিলেন "ইটার্নাল মাইনার।"
সাম্বা ইনস্টল করা সিস্টেমগুলির জন্য প্রস্তাবিত কর্মসংস্থান (এটি সিভিই নোটিশে উপস্থিত রয়েছে) আপডেট করার আগে এটি যুক্ত করছে smb.conf
:
nt pipe support = no
(এবং সাম্বা পরিষেবাটি পুনরায় চালু করা)
এটি এমন একটি সেটিংস অক্ষম করার কথা বলে যা উইন্ডোজ আইপিসি নামক পাইপ পরিষেবাগুলিতে বেনামে সংযোগ তৈরির ক্ষমতা চালু / বন্ধ করে দেয়। থেকে man samba
:
এই গ্লোবাল বিকল্পটি বিকাশকারীরা উইন্ডোজ এনটি / 2000 / এক্সপি ক্লায়েন্টকে এনটি-নির্দিষ্ট এসএমবি আইপিসি ipes পাইপগুলির সাথে সংযোগ স্থাপনের ক্ষমতা বা অনুমতি দেওয়ার জন্য ব্যবহার করে। একজন ব্যবহারকারী হিসাবে আপনার কখনই ডিফল্টটিকে ওভাররাইড করার প্রয়োজন হবে না।
তবে আমাদের অভ্যন্তরীণ অভিজ্ঞতা থেকে মনে হচ্ছে এটি ঠিক করা পুরানোের সাথে সামঞ্জস্য নয়? উইন্ডোজ সংস্করণ (কমপক্ষে কিছু? উইন্ডোজ 7 ক্লায়েন্টগুলি এর সাথে কাজ করে না বলে মনে হয় nt pipe support = no
) এবং যেমন প্রতিকারের পথটি চূড়ান্ত ক্ষেত্রে সাম্বাকে ইনস্টল বা সংকলনের ক্ষেত্রে যেতে পারে।
আরও সুনির্দিষ্টভাবে, এই ফিক্সটি উইন্ডোজ ক্লায়েন্টদের থেকে শেয়ারগুলির তালিকা অক্ষম করে এবং যদি প্রয়োগ করা হয় তবে এটিকে ব্যবহার করতে সক্ষম হওয়ার জন্য তাদের ভাগের পুরো পথটি ম্যানুয়ালি নির্দিষ্ট করতে হবে।
অন্যান্য পরিচিত কাজটি হ'ল সাম্বা শেয়ারগুলি noexec
বিকল্পের সাথে মাউন্ট করা আছে তা নিশ্চিত করা । এটি মাউন্ট করা ফাইল সিস্টেমে থাকা বাইনারিগুলির কার্যকারিতা রোধ করবে।
সরকারী নিরাপত্তা সোর্স কোড প্যাচ হয় এখানে থেকে samba.org নিরাপত্তা পৃষ্ঠায় ।
দেবিয়ান ইতিমধ্যে গতকাল (24/5) একটি দরজা বাইরে আপডেট করেছে, এবং সংশ্লিষ্ট সুরক্ষা বিজ্ঞপ্তি ডিএসএ-3860-1 সাম্বা
দুর্বলতাটি সেন্টোস / আরএইচইএল / ফেডোরায় সংশোধন করা হয়েছে এবং উত্পন্ন হয়েছে কিনা তা যাচাই করতে, করুন:
#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset
এখন একটি nmap
সনাক্তকরণ স্ক্রিপ্ট রয়েছে: samba-vuln-cve-2017-7494.nse
সাম্বা সংস্করণগুলি সনাক্ত করার জন্য, বা আরও ভাল nmap
স্ক্রিপ্ট যা পরিষেবাটি http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve এ অরক্ষিত কিনা তা পরীক্ষা করে -2017-7494.nse , এটিতে অনুলিপি করুন /usr/share/nmap/scripts
এবং তারপরে nmap
ডাটাবেস আপডেট করুন বা নীচে এটি চালান:
nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>
সাম্বা পরিষেবা রক্ষার জন্য দীর্ঘমেয়াদী ব্যবস্থাগুলি সম্পর্কে: এসএমবি প্রোটোকলটি কখনই বড় আকারে সরাসরি ইন্টারনেটে সরবরাহ করা উচিত নয়।
এটি এসএমবি ছাড়াও সবসময়ই একটি সংশ্লেষিত প্রোটোকল হয়ে থাকে এবং এই ধরণের পরিষেবাদিগুলি অবশ্যই অভ্যন্তরীণ নেটওয়ার্কগুলিতে সীমাবদ্ধ করা উচিত [যেগুলিতে তারা পরিবেশন করা হচ্ছে]।
দূরবর্তী অ্যাক্সেসের প্রয়োজন হলে, বাড়িতে বা বিশেষত কর্পোরেট নেটওয়ার্কগুলিতে, সেই অ্যাক্সেসগুলি ভিপিএন প্রযুক্তি ব্যবহার করে আরও ভাল করা উচিত।
যথারীতি, এই পরিস্থিতিতে কেবলমাত্র সর্বনিম্ন পরিষেবাগুলি ইনস্টল এবং সক্রিয় করার ইউনিক্স নীতিটি পরিশোধ করে না।
নিজেই শোষণ থেকে নেওয়া:
শাশ্বত লাল সাম্বা শোষণ - CVE-2017-7494।
দুর্বল সাম্বা সার্ভারকে মূল প্রসঙ্গে একটি ভাগ করা লাইব্রেরি লোড করতে দেয়।
সার্ভারের কোনও গেস্ট অ্যাকাউন্ট থাকলে শংসাপত্রগুলির প্রয়োজন হয় না।
রিমোট শোষণের জন্য আপনার কমপক্ষে একটি ভাগের লেখার অনুমতি থাকতে হবে।
শাশ্বত রেড সাম্বা সার্ভারটি যে শেয়ারটি লিখতে পারে তার জন্য স্ক্যান করবে। এটি দূরবর্তী অংশের পুরোপথটিও নির্ধারণ করবে।
For local exploit provide the full path to your shared library to load.
Your shared library should look something like this
extern bool change_to_root_user(void);
int samba_init_module(void)
{
change_to_root_user();
/* Do what thou wilt */
}
এটি SELinux সক্ষম থাকা সিস্টেমগুলি শোষণের পক্ষে ঝুঁকিপূর্ণ নয় বলেও পরিচিত।
7 বছরের পুরানো সাম্বা ত্রুটি হ্যাকারদের দূরবর্তীভাবে কয়েক হাজার লিনাক্স পিসিতে অ্যাক্সেস করতে দেয় See
শোডান কম্পিউটার সার্চ ইঞ্জিন অনুসারে, ৪৮৫,০০০ এরও বেশি সাম্বা-সক্ষম কম্পিউটারগুলি ইন্টারনেটে 445 বন্দর উন্মুক্ত করেছে, এবং র্যাপিড 7-এর গবেষকদের মতে, 104,000 এরও বেশি ইন্টারনেট-এক্সপোজড এন্ডপয়েন্টগুলি সাম্বার দুর্বল সংস্করণে চলতে দেখা গেছে, এর মধ্যে 92,000 সাম্বার অসমর্থিত সংস্করণগুলি চলছে।
যেহেতু সাম্বা লিনাক্স এবং ইউএনআইএক্স সিস্টেমে প্রয়োগ করা এসএমবি প্রোটোকল, তাই কিছু বিশেষজ্ঞ বলছেন এটি "আটার্নাল ব্লুয়ের লিনাক্স সংস্করণ", যা ওয়াঙ্কাক্রি রেনসওয়ওয়ার দ্বারা ব্যবহৃত।
... নাকি আমার সাম্বাক্রি বলা উচিত?
এই দুর্বলতার সংখ্যা এবং সহজে এই দুর্বলতাটিকে কাজে লাগাতে স্বাচ্ছন্দ্য বজায় রেখে সাম্বা ত্রুটিটি পোড়ানোর ক্ষমতা সহ বৃহত্তর পর্যায়ে ব্যবহার করা যেতে পারে।
নেটওয়ার্ক-সংযুক্ত স্টোরেজ (এনএএস) ডিভাইসগুলি [যে লিনাক্সও চালায়] সহ হোম নেটওয়ার্কগুলিও এই ত্রুটির জন্য ঝুঁকির মধ্যে পড়তে পারে।
আরও দেখুন একটি সামান্য কোড-এক্সিকিউশন বাগটি সাম্বায় 7 বছর ধরে লুকিয়ে রয়েছে। এখন প্যাচ!
সিভিই -2017-7494 হিসাবে সূচিত সাত বছর বয়সী ত্রুটিগুলি দূষিত কোডটি কার্যকর করার জন্য কেবলমাত্র এক লাইন কোডের মাধ্যমে নির্ভরযোগ্যভাবে ব্যবহার করা যেতে পারে, যতক্ষণ না কয়েকটি শর্ত পূরণ হয়। এই প্রয়োজনীয়তাগুলির মধ্যে দুর্বল কম্পিউটারগুলি অন্তর্ভুক্ত রয়েছে যা:
(ক) ফাইল- এবং প্রিন্টার-ভাগ করে নেওয়ার পোর্টটি ইন্টারনেটে 445 পৌঁছনীয়,
(খ) লেখার
সুবিধার্থে ভাগ করা ফাইলগুলি কনফিগার করুন এবং (গ) এই ফাইলগুলির জন্য জ্ঞাত বা অনুমানযোগ্য সার্ভার পাথ ব্যবহার করুন।
যখন এই শর্তগুলি সন্তুষ্ট হয়, তখন দূরবর্তী আক্রমণকারীরা তাদের পছন্দের যে কোনও কোড আপলোড করতে পারে এবং অরক্ষিত প্ল্যাটফর্মের উপর নির্ভর করে সম্ভবত নিরক্ষিত রুট সুবিধাগুলি সহ সার্ভারকে এটি সম্পাদন করতে পারে।
শোষণের স্বাচ্ছন্দ্য এবং নির্ভরযোগ্যতা দেওয়া, এই গর্তটি যত তাড়াতাড়ি সম্ভব প্লাগিংয়ের মূল্য। আক্রমণকারীরা সক্রিয়ভাবে এটি লক্ষ্যবস্তু করা শুরু না হওয়া পর্যন্ত এটি কেবল সময়ের বিষয়।
এছাড়াও র্যাপিড 7 - সাম্বায় প্যাচিং সিভিই -2017-7494: এটি জীবনের বৃত্ত
এবং আরও সাম্বাক্রি: লিনাক্স সিকুয়েল টু ওয়াংক্রাই ।
জানা দরকার তথ্য
সিভিই-2017-7494 এর একটি সিভিএসএস স্কোর 7.5 (সিভিএসএস: 3.0 / এভি: এন / এসি: এইচ / পিআর: এল / ইউআই: এন / এস: ইউ / সি: এইচ / আই: এইচ / এ: এইচ) 3 রয়েছে।
হুমকি সুযোগ
"পোর্ট: 445! ওএস: উইন্ডোজ" এর একটি shodan.io ক্যোয়ারীটি প্রায় 10 মিলিয়ন নন-উইন্ডোজ হোস্টকে দেখায় যেগুলি tcp / 445 ইন্টারনেটের জন্য উন্মুক্ত রয়েছে, যার অর্ধেকেরও বেশি সংযুক্ত আরব আমিরাতে (36%) এবং মার্কিন (16%) এর মধ্যে অনেকগুলি প্যাচযুক্ত সংস্করণ চলতে থাকতে পারে, সেলইনাক্স সুরক্ষা থাকতে পারে, বা অন্যথায় শোষণ চালানোর জন্য প্রয়োজনীয় মানদণ্ডের সাথে মেলে না, তবে এই দুর্বলতার জন্য সম্ভাব্য আক্রমণ পৃষ্ঠটি বড় is
পিএস সাম্বা গিথুব প্রকল্পের কমিট ফিক্স 02a76d86db0cbe79fcaf1a500630e24d961fa149 কমিট বলে মনে হচ্ছে