Sambacry in Aktion
(Bild: Loran Kloeze )
Der Verschlüsselungstrojaner WannaCry hatte sich wurmähnlich mit Hilfe einer SMB-Lücke in Windows verbreitet. Nun hat das Open-Source-Pendant Samba eine ähnliche Lücke, die seit sieben Jahren klafft. Droht eine Kryptotrojaner-Infektion auf Linux-Systemen?
Eine kürzlich entdeckte, sieben Jahre alte Lücke im Linux-Datenaustauschdienst Samba ab Version 3.5.0 erlaubt Angreifern das Ausführen von beliebigem Schadcode (CVE-2017-7494). Da eine ähnliche Lücke im Windows-Pendant der Software maßgeblich an der Ausbreitung des Verschlüsselungstrojaners WannaCry beteiligt war, hat die Internet-Gemeinde die aktuelle Lücke SambaCry getauft. Es gibt Updates für Samba, die unter anderem von vielen Linux-Distributionen bereits verteilt werden. Da die Software allerdings auch auf vielen Embedded-Systemen und NAS-Geräten läuft, für die auf absehbare Zeit keine Patches erscheinen werden, sind viele Systeme weiterhin verwundbar.
Die Gefahr im eigenen Netz
Für die Lücke existiert ein Proof-of-Concept sowie ein Modul für das Pentesting-Toolkit Metasploit und sie ist relativ einfach für Angriffe ausnutzbar. Aus diesem Grund ist damit zu rechnen, dass die Lücke sehr bald im großen Stil für Angriffe missbraucht wird. Administratoren sollten deshalb so schnell wie möglich alle Samba-Installationen in ihren Netzen auf den aktuellen Stand bringen. Ist das nicht möglich, sollten die verwundbaren Geräte aus dem Netz entfernt werden. Falls auch diese beiden Optionen nicht in Frage kommen, hilft nur, die verwundbaren Geräte so abzuschotten, dass sie auf keinen Fall aus dem öffentlichen Netz erreichbar sind.
Aber selbst im LAN sind verwundbare NAS-Boxen und Server ein Problem. Der WannaCry-Wurm hatte vor allem deswegen für einen solchen Wirbel gesorgt, da er sich in internen Firmennetzen von einem verwundbaren Rechner zum nächsten vermehrt hatte. Ein hypothetischer Linux-Schädling könnte sich, einmal ins Netz gelangt, wie WannaCry von einem verwundbarem Samba-System zum nächsten hangeln. Besonders brisant an diesem Szenario ist, dass Fileserver die perfekten Angriffsziele für Verschlüsselungstrojaner darstellen.
So findet man verwundbare Systeme
Sicherheitsforscher arbeiten bereits mit Hochdruck an Tools, um verwundbare Systeme in den eigenen Netzen aufzuspüren. Mit diesem Nmap-Skript lassen sich etwa verwundbare Samba-Versionen aufspüren. Der Entwickler arbeitet nach eigener Aussage bereits an einer verbesserten Version, die per Metasploit-Modul prüft, ob der entsprechende Samba-Server auch wirklich angreifbar ist. (fab)
noch mehr Nachrichten mehr zu diesem Thema