SambaCry NAS in pericolo Exploit EternalBlue
Samba è un software open source (ri-implementazione del protocollo di rete SMB) che viene eseguito sulla maggior parte dei sistemi operativi disponibili oggi, tra cui Windows, Linux, UNIX, IBM System 390 e OpenVMS, a bordo di tutti i nas in commercio nei firmware è implementato Samba.
Samba consente di condividere cartelle, file e stampanti condivise in rete con il sistema operativo Windows ma è uno protocollo usato su parecchi dispositivi.
La vulnerabilità di recente scoperta (CVE-2017-7494) consente l’esecuzione di codice remoto riguarda tutte le versioni più recenti di Samba installate a bordo dei principali marchi di NAS.
Samba è comunemente incluso come servizio di sistema di base su altri sistemi operativi basati su Unix.
Questa vulnerabilità, indicizzata con CVE-2017-7494, consente a un utente malintenzionato di accedere in modo valido a una condivisione di file per caricare e eseguire un file binario arbitrario che verrà eseguito con le autorizzazioni di Samba.
Il difetto può essere sfruttato con poche righe di codice, che non richiedono interazione da parte dell’utente finale. Tutte le versioni di Samba da 3,5 in poi sono vulnerabili.
Poiché Samba viene utilizzato come parte di molti sistemi di storage (NAS) di organizzazioni, ci aspettiamo che un attacco ransomware possa trarre vantaggio dal difetto nel prossimo futuro.
La vulnerabilità di Samba risale a 7 anni
La vulnerabilità colpisce tutte le versioni di Samba da 3,5 in poi
Samba 3.5, la versione che ha introdotto il difetto, è stato rilasciato nel marzo 2010
Almeno 110.000 dispositivi esposti su Internet eseguono versioni vulnerabili di Samba
Molti sistemi di storage aziendali (NAS), router domestici e altri dispositivi IOT eseguono Samba per la condivisione di file. Alcuni sono accessibili solo dall’interno della rete, mentre altri sono esposti anche a Internet. Al momento ci sono oltre 110.000 dispositivi accessibili a Internet che sembrano eseguire versioni vulnerabili di Samba.
Ogni dispositivo che esegue Samba con parti di file scrivibili e password debole è a rischio.
Ecco i link di supporto per i marchi più diffusi:
- NETGEAR dalla versione 6.7.4 Fixed CVE-2017-7494 (Remote code execution from a writable share)
- SYNOLOGY Fixed CVE-2017-7494
- QNAP Fixed CVE-2017-7494