Novo Malware Linux Explora Silenciosamente a Falha SambaCry via Backdoor em Dispositivos NAS

Lembram-se do SambaCry?

Há quase dois meses, informamos sobre uma vulnerabilidade crítica de execução de código remoto de 7 anos no software de rede de Samba, permitindo que um hacker controlasse remotamente o sistema de máquinas Linux e UNIX vulneráveis.

A vulnerabilidade ficou conhecida como SambaCry, por causa das semelhanças com a vulnerabilidade do Windows SMB explorada pelo ransomware WannaCry que causou estragos em todo o mundo há mais de dois meses.

Apesar de ter recebido patch no final de maio, a vulnerabilidade está sendo aproveitada por um novo pedaço do malware focando em dispositivos IoT (Internet das Coisas), particularmente Dispositivos de Armazenamento em Rede (Network Attached Storage [NAS]), alertam pesquisadores na Trend Micro.

Para aqueles que não estão familiarizados: Samba é um software de código aberto (re-implementação do protocolo de rede SMB/CIFS), que oferece comunicação entre servidores Linux/Unix com arquivos baseados no Windows e serviços de impressão, e ainda é executado na maioria dos sistemas operacionais, incluindo Linux, UNIX, IBM System 390 e OpenVMS.

Pouco depois da revelação pública da sua existência, a vulnerabilidade SambaCry (CVE-2017–7494) foi explorada principalmente para instalar o software de mineração cryptocurrency — “CPUminer” para mineiração da moeda digital “Monero” — em sistemas Linux.

No entanto, a mais recente campanha do malware envolvendo o SambaCry detectada por pesquisadores da Trend Micro em julho, foca principalmente dispositivos NAS utilizados por pequenas e médias empresas.

O Malware SHELLBIND Explora Vulnerabilidade SambaCry Focando Dispositivos NAS

Denominado SHELLBIND, o malware funciona em várias arquiteturas, incluindo MIPS, ARM e PowerPC e é entregue como um arquivo de objeto compartilhado (.OS) para pastas públicas do Samba e carregado através da vulnerabilidade SambaCry.

Uma vez implantado na máquina-alvo, o malware estabelece a comunicação com o servidor de comando e controle (C&C) dos atacantes localizado na África Oriental e modifica as regras de firewall para garantir que ele possa se comunicar com seu servidor.

Depois de estabelecer uma conexão com êxito, o malware concede aos atacantes acesso ao dispositivo infectado e fornece aos mesmos um shell de comando aberto no dispositivo, para que eles possam emitir qualquer número e tipo de comandos do sistema e, eventualmente, assumir o controle do dispositivo.

A fim de encontrar os dispositivos afetados que usam o Samba, os atacantes podem aproveitar o motor de busca Shodan e escrever os arquivos de malware originais para suas pastas públicas.

é muito fácil encontrar dispositivos que utilizam o Samba pelo Shodan: procure a porta 445 com uma String ‘samba’ e aparecerá uma lista de IPs viáveis”, segundo pesquisadores ao explicarem a falha.
um invasor, então, simplesmente precisa criar uma ferramenta que pode automaticamente gravar arquivos maliciosos para cada endereço IP na lista. Uma vez que eles escrevam os arquivos para as pastas públicas, os dispositivos com a vulnerabilidade SambaCry podem se tornar ELF_SHELLBIND. Uma vítima.

No entanto, não está claro o que os invasores fazem com os dispositivos comprometidos e qual é o seu resal motivo por trás do compromentimento dos dispositivos.

A vulnerabilidade SambaCry é fácil de se explorada e pode ser usada por atacantes remotos para carregar uma biblioteca compartilhada para uma mídia gravável e, em seguida, fazer com que o servidor carregue e execute o código malicioso.

Os mantenedores do Samba já corrigiram problema nas versões 4.6.4/4.5.10/4.4.14, então é aconselhável corrigir seus sistemas contra a vulnerabilidade o mais rápido possível.

Certifique-se que seu sistema esteja executando a versão atualizada do Samba.

Além disso, os invasores precisam ter acesso gravável a um local compartilhado no sistema alvo para entregar a carga útil, que é outro fator atenuante que pode diminuir a taxa de infecção.