Un NAS (Network Attached Storage) es un dispositivo que ofrece grandes capacidades de almacenamiento a la red local, por lo general se usan para hacer back-up de los datos de las PCs. Aunque estos dispositivos están diseñados para ser usados dentro de una red local, muchos usuarios suelen abrir puertos para accesarlos remotamente para poder acceder a archivos de forma remota. Pero esto que parece ser tan conveniente puede ser una grave amenaza.
Una falla de ejecución remota de código de Samba parchada en mayo está siendo explotada para comprometer dispositivos IoT y NAS que corren en diferentes arquitecturas (MIPS, ARM, PowerPC, etc.), advirtieron los investigadores de Trend Micro en su blog.
Samba es una implementación Open Source del protocolo de red SMB/CIFS, que proporciona a los servidores Linux/Unix servicios de archivo e impresión basados en Windows. Funciona en la mayoría de los sistemas Linux y Unix.
Desde la revelación pública de su existencia, la vulnerabilidad llamada SambaCry (CVE-2017-7494) ha sido utilizada por los cibercriminales en su mayoría para instalar software de minería de criptomonedas en servidores Linux. Pero en la actual campaña que están llevando acabo, la mayoría de los objetivos son Network Attached Storage (NAS) dispositivos muy utilizados por pequeñas y medianas empresas para almacenar sus datos y copias de respaldo.
La descripción que hace Trend Micro de cómo funciona el nuevo malware es la siguiente:
Es bastante fácil encontrar dispositivos que usen Samba en Shodan: buscando el puerto 445 con una cadena de ‘samba’ resultará en una lista de IPs viables. Un atacante simplemente tendría que crear una herramienta que pueda escribir automáticamente archivos maliciosos en cada dirección IP de la lista. Una vez que escriben los archivos en las carpetas públicas, los dispositivos con la vulnerabilidad de SambaCry podrían convertirse en víctimas de ELF_SHELLBIND.A.
Como vemos en la Figura 1 a continuación, ELF_SHELLBIND.A normalmente llega a las carpetas públicas como un archivo de objeto compartido [librería] (.SO), que es similar a la rutina de malware minero, la anterior forma de explotar la vulnerabilidad de SambaCry. También podemos ver que intenta explotar SambaCry porque se invoca a través de la función de exportación samba_init_module, que es la forma en que el servidor Samba vulnerable cargaría esta biblioteca automáticamente.
Después de cargar el archivo .SO en la carpeta pública compartida de Samba, el atacante debe adivinar el nombre de archivo local absoluto y enviar una solicitud IPC para engañar al servidor para cargar y ejecutar el archivo de programa almacenado localmente.
Una vez desplegado en la máquina de destino, el malware establece la comunicación con el servidor de comando y control (C & C) de los atacantes ubicado en África Oriental y modifica las reglas de firewall para garantizar que se puede comunicar con su servidor.
Después de establecer satisfactoriamente una conexión, el malware concede a los atacantes acceso al dispositivo infectado y les proporciona un shell de comandos abierto en el dispositivo, para que puedan emitir cualquier número y tipo de comandos del sistema y eventualmente tomar el control del dispositivo.
La vulnerabilidad de SambaCry es increíblemente fácil de explotar y podría ser utilizada por atacantes remotos para cargar una biblioteca compartida a un recurso compartido con atributo de escritura y luego hacer que el servidor cargue y ejecute el código malicioso.
Los encargados del proyecto Samba ya corrigieron el problema en las versiones 4.6.4 / 4.5.10 / 4.4.14 de Samba, por lo que se recomienda que actualize su sistemas a una de estas versiones para protegerse de esta vulnerabilidad tan pronto como sea posible.
Además, los atacantes necesitan tener acceso de escritura a una ubicación compartida en el sistema de destino para entregar la carga útil, que es otro factor mitigador que podría reducir la tasa de infección. Si necesita ofrecer una carpeta pública a través de Internet con Samba, no importa cuál sea su razón, remueva el privilegio de escritura sobre la misma.