WannaCry... el regreso... pero esta vez, en Linux (?)

WannaCry llega a Linux??? Sip. Así como lo oyen, un exploit descubierto recientemente (EternalBlue exploit) para Linux, también conocido como SambaCry (CVE-2017-7494) se ha publicado la semana pasada - por lo que la cuenta atrás para otro estrago en todo el mundo ya ha comenzado.

La vulnerabilidad afecta a todas las versiones de Samba desde 3.5 (lanzado el 1 de marzo de 2010) y hacia adelante hasta las últimas versiones que son 4.6.4, 4.5.10 y 4.4.14. Este exploit va a ser un gran problema para la mayoría de los TI, ya que Samba es el estándar favorito para compartir servicios de impresión y archivos basados ​​en Windows sobre plataformas Linux, y como tal, se instala por default en muchos sistemas.

Incluso, aunque las empresas no utilicen sistemas operativos Linux, hay que tener en cuenta los dispositivos basados en pequeñas distribuciones de Linux, como las que pueden hayarse e algunas Fotocopiadoras Multifunción, y lo que es peor NAS basados ​​en Linux, en su gran mayoría utilizados para Backups! Incluso muchos Routers están expuestos...

Aparentemente, la vulnerabilidad es muy fácil de explotar: todo lo que se necesita es un solo comando “simple.create_pipe“con un path apuntando a un archivo “.so”.

Las principales distribuciones de Linux, como Red Hat y Ubuntu, ya han lanzado parches. Sin embargo, no parece que los fabricantes de NAS pequeños y proveedores de dispositivos de red de mediano y pequeño porte sean capaces de reaccionar tan rápido, quizá no lo hagan nunca.

Por lo tanto, para esos dispositivos, es importante aplicar algún tipo de fix manual contra esta vulnerabilidad.

Aparentemente, bastaría agregar “nt pipe support = no” al archivo de config de samba smb.conf (recordar reiniciar SMB daemon smbd).

Es recomendable tomar las medidas que sean necesarias al respecto

Fuente: Veeam Forum - word from Gostev Newsletter