Linux : minage de crypto-monnaie via un exploit pour une faille Samba

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Linux : minage de crypto-monnaie via un exploit pour une faille Samba

Publié le 13 juin 2017 à 10:00 par Jérôme G.

Lire sur mobile

Qualifiée de SambaCry en référence à WannaCry, l'ancienne vulnérabilité Samba est utilisée dans le cadre d'une attaque pour miner de la crypto-monnaie Monero à l'insu d'utilisateurs de machines Linux.

À la fin du mois de mai, une alerte a été publiée au sujet d'une vulnérabilité affectant toutes les versions de Samba à partir de la mouture 3.5.0 et permettant à un attaquant de provoquer une exécution de code à distance.

Pour une exploitation, le port 445 doit être ouvert, les fichiers partagés doivent avoir des privilèges en écriture et ces fichiers doivent avoir des chemins d'accès connus ou faciles à deviner. Vieille de sept ans, la faille critique a été corrigée dans les versions 4.6.4, 4.5.10 et 4.4.14 de Samba.

Comme Samba est l'implémentation libre du protocole SMB (Server Message Block) de Microsoft pour les distributions Linux et les systèmes UNIX, il a rapidement été évoqué dans le contexte de WannaCry (et de l'exploit EternalBlue ; pour d'anciennes versions de Windows) la possibilité d'attaques similaires. Le nom de SambaCry a même été donné (et un exploit EternalRed).

Dans leurs systèmes de type pots de miel, des chercheurs en sécurité de Kaspersky Lab indiquent avoir capturé une attaque tirant ainsi parti de la faille Samba - ou dite SambaCry - pour infecter des machines Linux. Toutefois, point de ransomware mais un malware pour miner de la crypto-monnaie.

En l'occurrence, il s'agit d'une version modifiée de cpuminer pour extraire de la crypto-monnaie open source Monero (XMR). Un exploit qui est dès lors autrement qualifié de EternalMiner. Plus précisément, après la compromission d'une machine vulnérable, deux charges utiles sont exécutées : INAebsGB.so et cblRWuoCc.so.

La première est un reverse-shell fournissant un accès à distance et la deuxième est une backdoor intégrant le nécessaire pour le minage de crypto-monnaie. Grâce au reverse-shell, la configuration d'un outil de minage déjà en cours d'exécution peut être modifiée, voire pour infecter une machine avec d'autres nuisibles.

Après notamment Adylkuzz et récemment Linux.MulDrop.14 qui cible le Raspberry Pi, le minage insidieux de crypto-monnaie s'affiche en tout cas une nouvelle fois comme une tendance dans des attaques. D'après l'adresse du portefeuille Monero codée en dur dans l'exploit, les chercheurs de Kaspersky Lab indiquent la somme de 98 XMR pour l'attaquant au 8 juin dernier, soit l'équivalent de plus de 4 500 €.

CVE-2017-7494 exploited in #SambaCry, mines #cryptocurrency https://t.co/evxEfXQch1 pic.twitter.com/bpjtV28otq
— Kaspersky Lab (@kaspersky) 12 juin 2017

Après un mois de minage, la taille du botnet dédié à cette activité aurait tendance à augmenter, et de fait un nombre croissant d'appareils infectés. " Pour le moment, nous n'avons aucune information sur l'échelle réelle de l'attaque ", écrivent les chercheurs. " Cependant, c'est une excellente raison pour les administrateurs système et les utilisateurs ordinaires de Linux de mettre immédiatement à jour leur logiciel Samba vers la dernière version pour éviter de futurs problèmes. "