Hoşgeldin SambaCry!

Hoşgeldin SambaCry!
Mayıs 25 10:43 2017 Yazıyı Yazdır

7 yıl önceki Samba zafiyeti, bilgisayar korsanlarının binlerce Linux sistemde uzaktan kod çalıştırarak ele geçirmesine izin vermektedir. (CVE-2017-7494)

Samba, GNU/Linux ve Mac OS X işletimleri gibi ya da gömülü *Unix sistemlerinin Microsoft Windows işletim sistemiyle ağda dosya-klasör paylaşımı görevi yapan açık kaynaklı bir çözümdür.

Zafiyetten etkilenmeyen Samba sürümleri:
Samba Version = 4.6.4
Samba Version = 4.5.10
Samba Version = 4.4.14

Zafiyetten etkilenen Samba sürümleri:
Samba Version < 4.6.4
Samba Version < 4.5.10
Samba Version < 4.4.14

Shodan arama motorunun verilerine göre, 485.000‘den fazla Samba özellikli bilgisayar 445 numaralı port üzerinden internete açık durumda ve Rapid7’deki araştırmacılara göre, 104,000‘den fazlası Samba’nın zafiyet içeren sürümlerini çalıştırmaktaydı. Yine bunların 92.000‘i Samba’nın desteklenmeyen sürümlerinin çalıştırıldığı tespit edildi.

Samba, Linux ve UNIX sistemlerinde uygulanan SMB protokolü olduğundan, bazı uzmanlar tarafından yapılan açıklamalar, WannaCry fidye yazılımı tarafından kullanılan EternalBlue exploitinin Linux için de bir varyasonu olduğu yönündedir.

Ayrıca, dikkat edilmesi gereken en önemli ayrıntılardan biri de, dosya paylaşımları için lokal ağlarda çokca kullanılan NAS (ağa bağlı depolama aygıtları) cihazları da bu zafiyetten etkilenebilir. Bu yüzden bu ayrıntıyı gözardı etmemekte fayda var.

NAS cihazlarında Samba çalıştırdığı ve çok değerli verilere sahip olunduğu göz önüne alındığında bu güvenlik açığı, büyük çaplı Linux fidye solucanı olma potansiyeline sahiptir…
Pentester’lar için güzel haber!

İlgili exploitin Metasploit modülü yayınlandı. Buradan indirebileceğiniz modülü kullanmak için sadece Metasploit Framework‘a dışarıdan import etmeniz yeterlidir.

Bu zafiyet aslında Samba’nın paylaşılan kütüphaneleri işleme almasındaki yanlış filtrelemeden kaynaklıdır. Bir saldırgan, paylaşılabilir bir kitaplığı yazılabilir bir paylaşıma yüklemek ve daha sonra sunucuya kötü amaçlı kodu yükleyip çalıştırmak için bu modül aracılığıyla Samba’nın güvenlik açığını (kolayca) istismar etmek için kullanabilir.

Samba’nın geliştiricileri, Samba’nın 4.6.4 / 4.5.10 / 4.4.14 sürümlerinde düzeltti ve yamalar yayınladı. Kullanıcıların acil olarak ilgili yamaları yapmaları yönünde uyardılar. Geliştiriciler ayrıca, Samba’nın eski ve desteklenmeyen sürümleri için de yamalar yayınladılar.

Bu arada, eğer Samba’nın en yeni sürümlerine yükseltme yapamazsanız, smb.conf Samba yapılandırma dosyasına aşağıdaki satırı ekleyerek bu güvenlik açığını giderebilirsiniz:

nt pipe support = no

Değişiklikten sonra SMB (smbd) servisini restart etmeniz gerekmektedir. Bunun için “service smbd restart” veya “/etc/init.d/smbd restart” komutları kullanılabilir.

daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.