Dieci giorni fa avevamo riportato la scoperta di una vulnerabilità nei sistemi Samba che permetterebbe ad un attaccante di accedere da remoto e prendere il controllo dei sistemi Unix e Linux collegate e questo problema affligge tutte le versioni successive alla 3.5.0 rilasciata nel marzo del 2010.
Cryptocurrency miner #EternalMiner using #SambaCry #CVE_2017_7494 to infect Linux servers. brand new sample @malwrhunterteam. pic.twitter.com/aXlEQKkdtq— Omri Ben Bassat (@omri9741) 8 giugno 2017
Ed è di questi giorni la scoperta da parte di Kaspersky e di un altro ricercatore indipendente che circa una settimana dopo la scoperta della vulnerabilità è partita una escalation di attacchi contro questi sistemi facenti parte di una vera e propria campagna di diffusione malware, nella quale viene installata una versione aggiornata di “CPUMiner” che permette in un secondo momento di eseguire due payload nel sistema, il primo che permette l’accesso remoto agli attaccanti, il secondo che include una backdoor con gli strumenti aggiornati di “CPUMiner“.
Samba ha già aggiornato da tempo i propri sistemi, rilasciando le versioni 4.6.4/4.5.10/4.4.14 e chi utilizza Samba è fortemente consigliato di aggiornare subito la versione in uso. Per chi non può aggiornare è possibile usare un work around, ovvero aggiungere al file smb.conf la riga
nt pipe support=no
Via: TheHackerNews.com