Рекомендации по нейтрализации угрозы, связанной с уязвимостью по SAMBA NETWORKING SOFTWARE

Задачи импортозамещения

  • Законы

Обеспечить соответствие требованиям перехода на отечественное программное обеспечение для госсектора

  • Продукты

Подобрать альтернативы среди российских решений с сохранением обеспечения совместимости на уровне стандартов и форматов

  • Процессы

Снизить риски и обеспечить непрерывность работы при миграции на российское программное обеспечение

Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге
27 мая 2017

Ставшая известной 25 мая 2017 года уязвимость CVE-2017-7494 позволяет удаленно запускать исполняемый код на уязвимых хостах. Уязвимость использует недостатки реализации ПО Samba.

Уязвимыми являются версии Samba 3.5.0 (релиз выпущен в 2010 году) и новее.

Samba используется для предоставления общего доступа к ресурсам, расположенным на машинах под управлением ОС Linux / Unix, для пользователей Windows. Данное ПО включено или по факту используется в большом количестве дистрибутивов на основе Linux / Unix, в том числе NAS и сетевом оборудовании.

На хостах с установленным уязвимым ПО возможна удаленная загрузка разделяемой библиотеки на ресурс, для которого разрешена запись файлов, с последующей загрузкой и исполнением данной библиотеки, что позволяет выполнить вредоносный код.

Для демонстрации эксплуатации уязвимости CVE-2017-7494 создано несколько эксплойтов (например, https://github.com/omri9741/cve-2017-7494), а также модуль популярного ПО для тестирования на проникновение Metasploit, что дает возможность использования данного эксплойта (с нужными модификациями) любому пользователю с минимальными навыками.

Превентивные меры:

  1. Заблокировать сетевой доступ из сети Интернет в ЛВС по порту TCP 139, 445. Предварительно необходимо убедиться, что данная блокировка не нарушит критичные бизнес-процессы организации.
  2. Произвести сканирование ресурсов сети на предмет наличия уязвимости CVE-2017-7494, предварительно обновив базы данных уязвимостей сканера защищенности. Необходимо учитывать, что в базы данных некоторых сканеров данная уязвимость может быть не включена на момент сканирования.
  3. Установить патчи для поддерживаемых версий ПО Samba (выпущены и доступны на https://www.samba.org/samba/history/security.html для версий 4.6.3, 4.5.9, 4.4.13), либо обновить ПО до последнего релиза, не содержащего данную уязвимость. При использовании специальных ОС (например, NAS) необходимо загрузить обновление или патч с сайта производителя.
  4. Для неподдерживаемых версий, а также при отсутствии возможности обновления или патча ПО необходимо установить параметру «nt pipe support» значение «no», отредактировав файлsmb.conf: nt pipe support = no.
    Необходимо учитывать, что это может нарушить часть функционала ПО для пользователей Windows.
  5. Произвести обновление баз сигнатур средств обнаружения вторжений.

Команда «Интелком» готова проконсультировать все компании, обеспокоенные сложившейся ситуацией, по вопросам рисков и угроз, а также оперативно обеспечить защиту их инфраструктуры.

Вернуться к списку