Qualche mese avevamo riportato di una vulnerabilità che risiede nei sistemi SAMBA che permetterebbe ad un attaccante di accedere da remoto e prendere il controllo dei sistemi Unix e Linux collegate , vulnerabilità già sfruttata con la campagna malware per diffondere CPUMiner (ne parlavamo qui).
E’ di questi giorni la scoperta da parte di Trend Micro di un nuovo exploit di questa vulnerabilità (già corretta con il rilascio delle versioni 4.6.4/4.5.10/4.4.14) che viene usato in una campagna mirata a colpire i dispositivi NAS di piccole e medie aziende: sono proprio i NAS quelli che usano maggiormente il sistema di condivisione SAMBA.
Il malware si chiama Shellbind e lavora con numerose architetture tra cui MIPS, ARM e PowerPC: per il caricamento sfrutta proprio la vulnerabilità di cui stiamo parlando (esattamente è la CVE2017-7494), una volta caricato con successo nel sistema modifica le regole del firewall per consentire la comunicazione con il proprio server C&C situato nell’Africa dell’est, quindi abilita l’accesso all’attaccante che volendo può prendere pieno controllo del dispositivo.
L’infezione nasce dalla scrittura di un file con estensione .SO nella cartella di condivisione pubblica di SAMBA dalla quale poi si propaga l’infezione: quindi già impostare in sola lettura (o in scrittura solo per utenti specifici) la cartella pubblica può mitigare il problema.
Questo per chi non può aggiornare alle nuove versioni: per tutti gli altri è fortemente consigliato aggiornare i propri sistemi portandoli alle versioni 4.6.4/4.5.10/4.4.14
Non hai capito qualche termine? consulta il nostro glossario!
Approfondimenti: