监测防护SambaCry CVE-2017-7494漏洞

我们最近看到了几个严重的漏洞。首先是WannaCry（永恒之蓝），然后是WannaCry
2.0（EternalRocks），现在我们有WannaCry3.0吗？还好这还不是真的。但一个新的存在七年之久的远程代码执行漏洞（CVE-2017-7494）影响Samba3.5.0及更高版本，这正在成为上周的新闻热点。该漏洞就像Linux系统的WannaCry，有人甚至称其为SambaCry，因为它通过影响Linux中的SMB协议传播，并且可以是蠕虫病毒。需要澄清的是，这个新的漏洞与Shadow
Brokers组发布的SMB漏洞无关，WannaCry
勒索软件感染大量Windows系统，但 SambaCry只会影响Linux中的SMB协议。Tenable研究团队一直跟踪关注这些新的有价值的漏洞并提供防范措施，您可以使用Tenable提供的多种工具随时扫描您的系统以检测漏洞。

Samba是支持SMB
/ CIFS网络协议的开源软件，它为各种Microsoft Windows客户端提供文件和打印服务。它运行在大多数Unix，OpenVMS和类Unix系统上，如Linux，Solaris和AIX，是大多数Linux发行版的标准配置。因此，它可以在各种类Unix系统上使用。

通过Shodan搜索显示，超过475,000个启用了Samba的主机可通过互联网访问到。但目前尚不清楚其中有多少运行了易受攻击的Samba版本。



该漏洞可以被一行简单的代码利用。恶意客户端可以上传并导致smbd服务器拥有被写入的权限。

接下来该怎么做？

第一步是立即修补易受攻击的Samba版本。 Tenable提供多个工具可以帮助您检测受影响的Samba版本。

Nessus

Tenable已经发布了多个经过验证的Nessus®插件，用于检查易受攻击的Samba版本，并将继续发布更多的可用于其他Linux发行版的插件。







例如，以下是运行插件＃100388以检测易受攻击的Samba版本后可能会看到的结果：


Tenable还发布了一个远程banner检测，以识别易受攻击的Samba版本。

PVS

被动漏洞扫描仪（PVS™）还能够通过插件＃700127来主动检测受SambaCry影响的SMB的易受攻击版本。


SecurityCenter 

SecurityCenter“SambaCry漏洞检测”仪表板是特别开发和定制的，用于识别可能易受SambaCry漏洞影响的Linux主机。仪表板使用前述的检测方法，并使其更易于使用和理解。



如果暂时不能升级版本或安装补丁，可以使用临时解决方案：

在smb.conf的[global]板块中添加参数：

nt pipe support = no

然后重启smbd服务

注意: 此操作可能会影响一些Windows客户端的功能