当前位置:安全客 >> 知识详情

【高危预警】Samba远程代码执行漏洞(CVE-2017-7494)分析

2017-05-25 15:18:12 阅读:0次 收藏 来源: 安全客 作者:360GearTeam

http://p5.qhimg.com/t011e22a7cb40237dfa.jpg


作者: cyg07 && redrain


概述


Samba是在Linux和UNIX系统上实现SMB协议的一个软件。2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。


漏洞简述


漏洞编号:CVE-2017-7494

危害等级:严重

影响版本:Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中间版本

漏洞描述:2017年5月24日Samba发布了4.6.4版本,修复了一个严重的远程代码执行漏洞,该漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。


技术分析


如官方所描述,该漏洞只需要通过一个可写入的Samba用户权限就可以提权到samba所在服务器的root权限(samba默认是root用户执行的)。

从Patch来看的话,is_known_pipename函数的pipename中存在路径符号会有问题:

http://p7.qhimg.com/t01f2c9deafb91b742f.png

再延伸下smb_probe_module函数中就会形成公告里说的加载攻击者上传的dll来任意执行代码了:


具体攻击过程:

构造一个有’/’ 符号的管道名或路径名,如 “/home/toor/cyg07.so”

通过smb的协议主动让服务器smb返回该FID

后续直接请求这个FID就进入上面所说的恶意流程

具体攻击结果如下:


1.尝试加载 “/home/toor/cyg07.so” 恶意so

http://p6.qhimg.com/t01089d1b0ac140ffd5.png

2.其中so 代码如下(加载时会调用 samba_init_module 导出函数)

http://p5.qhimg.com/t011b1f8dece98aef04.png

3.最后我们可以在/tmp/360sec中看到实际的执行权限(带root权限)

http://p1.qhimg.com/t01e7b7576e57263daa.png

PoC


暂不公开


解决方案


360网络安全响应中心和360信息安全部建议使用受影响版本的用户立即通过以下方式来进行安全更新操作,

1.使用源码安装的Samba用户,请尽快下载最新的Samba版本手动更新;

2.使用二进制分发包(RPM等方式)的用户立即进行yum,apt-get update等安全更新操作;


缓解策略:用户可以通过在smb.conf的[global]节点下增加 nt pipe support = no 选项,然后重新启动samba服务, 以此达到缓解该漏洞的效果。



本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/3900.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
大表姐 2017-06-01 15:02:58
回复 |  点赞

暂不公开 github已经有了好吗

Ping溢出大神 2017-05-29 10:39:09
回复 |  点赞

66666

占卜公开 2017-05-25 09:57:26
回复 |  点赞

exploit https://github.com/hdm/metasploit-framework/blob/0520d7cf76f8e5e654cb60f157772200c1b9e230/modules/exploits/linux/samba/is_known_pipename.rb

Ping溢出大神 2017-05-26 12:09:29
回复 |  点赞

卸载掉samba相关的rpm包可以解决这个问题吗

360U1408811231 2017-05-25 11:45:14
回复 |  点赞

4.6.4/4.5.10/4.4.14 这三个版本是打完补丁的,不受影响

匿名用户 2017-05-25 10:40:29
回复 |  点赞

包括4.6.4/4.5.10/4.4.14中间的版本,没明白什么意思,这个受影响是啥版本

360U1408811231 2017-05-25 11:45:14
回复 |  点赞

4.6.4/4.5.10/4.4.14 这三个版本是打完补丁的,不受影响

匿名用户 2017-05-25 10:40:29
回复 |  点赞

包括4.6.4/4.5.10/4.4.14中间的版本,没明白什么意思,这个受影响是啥版本

sdfasdft 2017-05-25 11:44:09
回复 |  点赞

漏洞影响了Samba 3.5.0 之后和包括4.6.4/4.5.10/4.4.14在内的版本。

匿名用户 2017-05-25 10:40:29
回复 |  点赞

包括4.6.4/4.5.10/4.4.14中间的版本,没明白什么意思,这个受影响是啥版本

匿名用户 2017-05-25 10:40:29
回复 |  点赞

包括4.6.4/4.5.10/4.4.14中间的版本,没明白什么意思,这个受影响是啥版本

矮穷龊-陆羽 2017-05-25 10:30:59
回复 |  点赞

永恒之蓝的时候得以幸免的Linux用户也要遭殃了。赶紧打补丁吧!POC已经出来了!

矮穷龊-陆羽 2017-05-25 10:30:53
回复 |  点赞

永恒之蓝的时候得以幸免的Linux用户也要遭殃了。赶紧打补丁吧!POC已经出来了!

白帽子 2017-05-25 10:13:17
回复 |  点赞

求各大NAS、带共享的路由器厂商心里阴影

带头大哥 2017-05-25 10:12:39
回复 |  点赞

linux估计未来很多年,内网还能用,不着急

樱花今天没有花瓣 2017-05-25 09:50:53
回复 |  点赞

mark,病好了回去看 =3=

查看更多