开启邀请码注册中,禁止灌水!发现一次永久禁言

墨客安全网

 找回密码
 立即注册

墨客安全网-新手入门指南 常见问题及帮助 | 做任务赚墨币币 新人报道 | 悬赏问答| 墨币充值| 帖子举报

墨客安全网-论坛精华合集 墨客安全网 -精华合集 之 速成之路 原创精品 | 加入墨客Vip | Vip工具| Vip教程

墨客安全网-进阶技术学习区 软件/工具| 社工专区 | 入侵检测| 技术文章 动画教程 | 编程交流| 免杀更新 | 程序源码

[悬赏公告] - 严查灌水,打造一个无水论坛,从即日起.请大家互相监督,发现恶意灌水的,请发贴举报,核实后会给予5-10的墨币奖励。
[官方公告] 从今日起所有会员发布工具必须到审核板块进行审核,如有违反永久禁言处理!
 [招聘招聘]-招聘各方面给力版主,要求每日发帖不少于3贴,每天在线时间6个小时以上,具体福利和待遇联系TG客服或者在线管理员
[官方公告]1.发现网盘下载地址失效!可以发贴举报 审核证实后给予奖励10-20墨币。2.即日起!不管是谁发贴!都不能带QQ群 已及个人QQ。个人网站,发现后严格处理。[官方业务]-加入墨客安全网Vip,圆你日抓千鸡梦,各种精品教程,免杀远控,压力测试等你拿,期待各位会员的加入,即可享受众多福利!
【官方公告】论坛所有广告均为商业行为,需要交易的请尽量走担保程序,所有因广告产生的任何纠纷请私下解决【站外广告】大量收色刷!刷单肉鸡!带飞机肉鸡!寻内网横向技术!懂的来,小白勿扰!长期包养色刷,刷单,带飞机海外盘国内盘灰产肉鸡稳定鸡商
联系飞机:@seeok91
【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服
查看: 293|回复: 0

[黑客新闻] 小心了!Linux版勒索病毒来袭;路由器等智能硬件易成重灾区

[复制链接]
  • TA的每日心情
    无聊
    4 天前
  • 签到天数: 157 天

    连续签到: 1 天

    [LV.7]常住居民III

    803

    主题

    1208

    回帖

    3万

    积分

    UID
    1
    威望
    313 (点)
    主题
    803 (帖)
    精华
    101 (帖)
    贡献
    27  (次)
    墨币
    27298  (枚)
    活跃
    210  (点)
    担保币
    1  (枚)
    注册时间
    2015-5-30
    最后登录
    2024-11-17

    热心会员突出贡献荣誉管理兄弟义气论坛帅哥绝世好人乐观达人音乐大师富二代

    QQ
    发表于 2017-5-28 11:07:26 | 显示全部楼层 |阅读模式

     肆虐全球windows设备的“永恒之蓝”勒索病毒攻击余波未平,一个linux版的“永恒之蓝”又出现了。

      360官方博客25日紧急发布了Samba远程代码执行漏洞警报(CVE-2017-7494)。

      Samba是在Linux和Unix系统上实现SMB协议的开源软件,正广泛应用在Linux服务器、NAS网络存储产品以及路由器等各种IoT智能硬件上。

      360方面介绍,与Windows版的“永恒之蓝”相比,Samba漏洞相对比较简单、更容易被攻击,而且同样威力巨大,可以远程执行任意代码。其漏洞攻击工具也已在网上公开,很可能被不法分子恶意利用。

      对普通个人用户来说,Samba漏洞会对各种常用的智能硬件造成严重威胁。例如,全球流行的路由器开源固件OpenWrt就受到Samba漏洞影响,可能导致路由器被黑客控制,劫持或监听网络流量,甚至给上网设备植入木马。此外,包括智能电视等设备中,Samba文件共享也是常用的服务。

      针对各类智能硬件用户,建议用户及时关闭路由器、智能电视等设备的Samba文件共享服务,等待固件进行安全更新后再开启Samba。

      针对使用Samba的服务器管理员,360方面也提出了安全更新建议。

      360对Samba远程代码执行漏洞(CVE-2017-7494)分析

      作者: cyg07 && redrain

      概述

      2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。

      技术分析

      如官方所描述,该漏洞只需要通过一个可写入的Samba用户权限就可以提权到samba所在服务器的root权限(samba默认是root用户执行的)。

      从Patch来看的话,is_known_pipename函数的pipename中存在路径符号会有问题:

    再延伸下smb_probe_module函数中就会形成公告里说的加载攻击者上传的dll来任意执行代码了:

    具体攻击过程:

    • 构造一个有’/’ 符号的管道名或路径名,如 “/home/toor/cyg07.so”
    • 通过smb的协议主动让服务器smb返回该FID
    • 后续直接请求这个FID就进入上面所说的恶意流程

      具体攻击结果如下:

      1.尝试加载 “/home/toor/cyg07.so” 恶意so

    2.其中so 代码如下(加载时会调用 samba_init_module 导出函数)

    3.最后我们可以在/tmp/360sec中看到实际的执行权限(带root权限)

    解决方案

      360网络安全响应中心和360信息安全部建议使用受影响版本的用户立即通过以下方式来进行安全更新操作,

    • 使用源码安装的Samba用户,请尽快下载最新的Samba版本手动更新;
    • 使用二进制分发包(RPM等方式)的用户立即进行yum,apt-get update等安全更新操作;

      缓解策略:用户可以通过在smb.conf的[global]节点下增加 nt pipe support = no 选项,然后重新启动samba服务, 以此达到缓解该漏洞的效果。



    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有账号?立即注册

    x
    请文明签到,随机抽查。发现灌水,广告,骂人,等内容将永久禁言
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    1、请认真发帖,禁止回复纯表情,纯数字等无意义的内容!帖子内容不要太简单!
    2、提倡文明上网,净化网络环境!抵制低俗不良违法有害信息。
    3、每个贴内连续回复请勿多余3贴,每个版面回复请勿多余10贴!
    4、如果你对主帖作者的帖子不屑一顾的话,请勿回帖。谢谢合作!

    关闭

    站长推荐上一条 /1 下一条