Kerentanan kritis 7 tahun remote code execution kali ini ditemukan dalam software jaringan Samba. Kerentanan RCE Samba ini memunginkan attacker untuk mengendalikan mesin Linux dan Unix yang terkena dampak dari jarak jauh atau secara remote.

Samba adalah software open-source (implementasi ulang protokol jaringan SMB) yang berjalan pada sebagian besar sistem operasi yang ada saat ini, termasuk Windows, Linux, UNIX, IBM System 390, dan OpenVMS.

Samba memungkinkan sistem operasi non-Windows, seperti GNU/Linux atau Mac OS X, untuk berbagi folder, file, dan printer dengan sistem operasi Windows.

Kerentanan RCE Samba yang baru ditemukan ini (CVE-2017-7494) mempengaruhi semua versi yang lebih baru dari Samba 3.5.0, yang dirilis pada tanggal 1 Maret 2010.

Semua versi Samba dari 3.5.0 dan seterusnya rentan terhadap kerentanan RCE, yang memungkinkan klien jahat mengunggah share library ke bagian yang writeable, dan kemudian menyebabkan server memuat dan menjalankannya,” tulis Samba dalam sebuah advisory yang diterbitkan Rabu kemarin.

Eksploit EternalBlue untuk versi Linux?

Menurut mesin pencari Shodan, lebih dari 400.000 komputer menjalankan Samba yang mengekspos port 445 di Internet, dan menurut para peneliti di Rapid7, lebih dari 104.000 titik akhir yang terpapar internet tampaknya menjalankan versi Samba yang rentan, dari 92.000 diantaranya menjalankan versi Samba yang sudah tidak didukung.

Karena Samba adalah protokol SMB yang diterapkan pada sistem Linux dan UNIX, maka beberapa ahli mengatakan bahwa ini adalah “versi Linux dari EternalBlue,” yang digunakan oleh ransomware WannaCry.

Mengingat jumlah sistem yang rentan dan mudahnya mengeksploitasi kerentanan ini, kerentanan RCE Samba dapat dimanfaatkan dalam skala besar dengan kemampuan wormable.

Exploit Code?

Kerentanannya ini sangat mudah dieksploitasi. Hanya satu baris kode yang diperlukan untuk mengeksekusi kode berbahaya pada sistem yang terpengaruh.

Namun, Samba exploit telah di porting ke Metasploit, sebuah framework pentest, yang memungkinkan periset serta hacker memanfaatkan kelemahan ini dengan mudah.

Patch dan Mitigasi

Samba telah menambal masalah ini di versi baru 4.6.4 / 4.5.10 / 4.4.14, dan mendesak mereka yang menggunakan versi rentan dari Samba untuk menginstal patch sesegera mungkin.

Tapi jika kamu tidak bisa mengupgrade ke Samba versi terbaru dengan segera, kamu bisa mengatasi kerentanan tersebut dengan menambahkan baris berikut ke file konfigurasi Samba di smb.conf:

Setelah ditambahkan, restart daemon SMB (smbd) dan selesai. Perubahan ini akan mencegah klien untuk sepenuhnya mengakses beberapa mesin jaringan, serta menonaktifkan beberapa fungsi untuk sistem Windows yang terhubung.

Sementara vendor distribusi Linux, termasuk Red Hat dan Ubuntu, telah merilis versi patch untuk penggunanya, risiko yang lebih besar adalah konsumen perangkat NAS yang mungkin tidak akan diperbarui dengan cepat.

Craig Williams dari Cisco mengatakan bahwa mengingat fakta kebanyakan perangkat NAS menjalankan Samba dan memiliki data yang sangat berharga, kerentanannya “berpotensi menjadi worm ransomware Linux skala besar pertama.

Namun, saat ini juga Samba telah menyediakan patch untuk versi yang lebih tua dan sudah tidak didukung.

Sementara itu, Netgear merilis sebuah advisory keamanan untuk CVE-2017-7494, dengan mengatakan sejumlah besar router dan model produk NAS terpengaruh oleh kekurangan tersebut karena mereka menggunakan Samba versi 3.5.0 atau yang lebih baru.

Namun, perusahaan tersebut saat ini merilis firmware fixes hanya untuk produk ReadyNAS yang menjalankan OS 6.x.


Like it? Share with your friends!

Muhammad Zaky Zulfiqor

I just simple person who like photography, videography, code, and cyber security enthusiast.

Comments

error: Content is protected !!