Linux : minage de crypto-monnaie via un exploit pour une faille Samba

Le par  |  23 commentaire(s)
SambaCry-Monero

Qualifiée de SambaCry en référence à WannaCry, l'ancienne vulnérabilité Samba est utilisée dans le cadre d'une attaque pour miner de la crypto-monnaie Monero à l'insu d'utilisateurs de machines Linux.

À la fin du mois de mai, une alerte a été publiée au sujet d'une vulnérabilité affectant toutes les versions de Samba à partir de la mouture 3.5.0 et permettant à un attaquant de provoquer une exécution de code à distance.

Pour une exploitation, le port 445 doit être ouvert, les fichiers partagés doivent avoir des privilèges en écriture et ces fichiers doivent avoir des chemins d'accès connus ou faciles à deviner. Vieille de sept ans, la faille critique a été corrigée dans les versions 4.6.4, 4.5.10 et 4.4.14 de Samba.

Comme Samba est l'implémentation libre du protocole SMB (Server Message Block) de Microsoft pour les distributions Linux et les systèmes UNIX, il a rapidement été évoqué dans le contexte de WannaCry (et de l'exploit EternalBlue ; pour d'anciennes versions de Windows) la possibilité d'attaques similaires. Le nom de SambaCry a même été donné (et un exploit EternalRed).

Dans leurs systèmes de type pots de miel, des chercheurs en sécurité de Kaspersky Lab indiquent avoir capturé une attaque tirant ainsi parti de la faille Samba - ou dite SambaCry - pour infecter des machines Linux. Toutefois, point de ransomware mais un malware pour miner de la crypto-monnaie.

En l'occurrence, il s'agit d'une version modifiée de cpuminer pour extraire de la crypto-monnaie open source Monero (XMR). Un exploit qui est dès lors autrement qualifié de EternalMiner. Plus précisément, après la compromission d'une machine vulnérable, deux charges utiles sont exécutées : INAebsGB.so et cblRWuoCc.so.

La première est un reverse-shell fournissant un accès à distance et la deuxième est une backdoor intégrant le nécessaire pour le minage de crypto-monnaie. Grâce au reverse-shell, la configuration d'un outil de minage déjà en cours d'exécution peut être modifiée, voire pour infecter une machine avec d'autres nuisibles.

Après notamment Adylkuzz et récemment Linux.MulDrop.14 qui cible le Raspberry Pi, le minage insidieux de crypto-monnaie s'affiche en tout cas une nouvelle fois comme une tendance dans des attaques. D'après l'adresse du portefeuille Monero codée en dur dans l'exploit, les chercheurs de Kaspersky Lab indiquent la somme de 98 XMR pour l'attaquant au 8 juin dernier, soit l'équivalent de plus de 4 500 €.

Après un mois de minage, la taille du botnet dédié à cette activité aurait tendance à augmenter, et de fait un nombre croissant d'appareils infectés. " Pour le moment, nous n'avons aucune information sur l'échelle réelle de l'attaque ", écrivent les chercheurs. " Cependant, c'est une excellente raison pour les administrateurs système et les utilisateurs ordinaires de Linux de mettre immédiatement à jour leur logiciel Samba vers la dernière version pour éviter de futurs problèmes. "

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1968185
"Vieille de sept ans"
Le #1968196
yves64 a écrit :

"Vieille de sept ans"


En informatique, 7 ans d'existence d'une faille c'est très fréquent (c'est même presque toujours davantage). Quand on y réfléchit c'est le contraire qui serait plus surprenant.

Par contre cette faille et un exploit possible n'ont été découverts que très récemment et, sitôt la faille découverte, sitôt patchée avec un patch délivré de façon très fluide par les mainteneurs des grandes distributions. L'impact sera donc probablement nul, comme d'habitude (mon billet que personne ne trouvera le moindre témoignage réel d'une quelconque victime).

La sécurité d'un système ne se mesure ni au nombre de failles ni à leur ancienneté mais il faut regarder

- la dangerosité de ces failles (par exemple pour celle-ci il n'y a aucune élévation de privilèges et il faut pas mal de conditions pour être exploitable).
- la simplicité d'exploitation de la faille
- la capacité de diffusion / propagation du malware qui utilise ces failles
- la vitesse de réaction pour patcher
- la fluidité des systèmes de mises à jour chez les utilisateurs (qui pourraient rechigner à mettre à jour en l'absence de fluidité (cf wannacry sous windows)
Le #1968199
yves64 a écrit :

"Vieille de sept ans"


Comme d'hab ... De failles critiques vieilles de plus de 5 ans ... Rien de neuf quoi.
Le #1968207
FRANCKYIV a écrit :

yves64 a écrit :

"Vieille de sept ans"


Comme d'hab ... De failles critiques vieilles de plus de 5 ans ... Rien de neuf quoi.


" De failles critiques " ??
Tu trouves ? Qu'est-ce qui te permet de la qualifier de "critique" ? Son mode de diffusion ? Le fait qu'elle soit facile à mettre en œuvre ? Le fait qu'elle permette une élévation des privilèges pour mettre la main sur l'OS ? A mon sens ici, aucune de ces caractéristiques n'est remplie mais tu vas peut être nous apprendre des choses sur ces points clé ?

Les failles anciennes, c'est quasiment toujours le cas dans tout logiciel suffisamment ancien et ce, que le logiciel soit proprio ou non, gratuit ou non, développé par des pros ou non.
Ces remarques sur l'ancienneté des failles sont des lapalissades qui n'apportent rien sur le plan des questions liées à la sécurité. Les questions qui permettent d'évaluer la sécurité sont

- la dangerosité de ces failles (par exemple pour celle-ci il n'y a aucune élévation de privilèges et il faut pas mal de conditions pour être exploitable).
- la simplicité d'exploitation de la faille
- la capacité de diffusion / propagation du malware qui utilise ces failles
- la vitesse de réaction pour patcher
- la fluidité des systèmes de mises à jour chez les utilisateurs (qui pourraient rechigner à mettre à jour en l'absence de fluidité (cf wannacry sous windows)

Quand on étudie chacun de ces points, là on fait une analyse de la sécurité.

Rappelons (pour la 200ème fois) que dans tous les logiciels, quels qu'ils soient, il y a des failles en sommeil qui sont la plupart du temps très anciennes (qui datent de la conception initiale la plupart du temps).
Le #1968208
Pour la faire courte, ce qui me semble intéressant dans la news c'est

"Pour une exploitation, le port 445 doit être ouvert, les fichiers partagés doivent avoir des privilèges en écriture et ces fichiers doivent avoir des chemins d'accès connus ou faciles à deviner." ces trois conditions réunies simultanément c'est extrêmement rare.

"la faille critique a été corrigée dans les versions 4.6.4, 4.5.10 et 4.4.14 de Samba."
et de voir que que toutes distributions ont livré le patch il y a déjà deux semaines (au lendemain de la publication des premiers POC)

Et enfin " Pour le moment, nous n'avons aucune information sur l'échelle réelle de l'attaque " sachant que toutes les distributions sont déjà à jour, je mets mon billet qu'on ne trouvera jamais la moindre victime de cette tentative d'exploitation d'une faille dans Samba. Comme d'habitude quoi.
Le #1968210

Vieille de sept ans, la faille critique



Apparemment, comme d'habitude, tu ne lis pas les news ...

Critique la faille qu'elle est qualifiée dans cette dernière ...

Edit :

Mais bon, j'imagine que Generation-NT raconte de la merde ... c'est certainement pour ça que tu n'arrêtes pas de le lire ...
Le #1968213

et la deuxième est une backdoor intégrant
le nécessaire pour le minage de
crypto-monnaie.



Linux ... backdoor ... intéressant ...
Le #1968220
On entend quoi par "minage de crypto monnaie" ?
Désolé, moi pas comprendre.....
Le #1968221
djram82000 a écrit :

On entend quoi par "minage de crypto monnaie" ?
Désolé, moi pas comprendre.....


Je ne connais pas bien le sujet mais en gros les PC infectés génèrent du fric pour les attaquants.
Le #1968223
FRANCKYIV a écrit :

djram82000 a écrit :

On entend quoi par "minage de crypto monnaie" ?
Désolé, moi pas comprendre.....


Je ne connais pas bien le sujet mais en gros les PC infectés génèrent du fric pour les attaquants.


Oki.... C'est ce que j'avais très lointainement compris.

Merci
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]