概要
本日公開する脆弱性は、広く使用されている Samba ソフトウェアに存在するものです。Samba ソフトウェアは SMB/CIFS プロトコルとして、*NixOS で多く使用されているため、今回の脆弱性(CVE-2017-7494)は世界各地で多数のシステムに影響を与える可能性があります。脆弱性の影響を受ける Samba サーバ上では、書き込み可能な共有先に共有ライブラリがアップロードされ、実行される可能性があります。つまり脆弱性が悪用された場合は、エクスプロイト ペイロードがアップロードされ、実行される危険性もあります。影響を受けるのは Samba 3.5.0(2010 年 3 月リリース)以降の全バージョンで、脆弱性は Metasploit の単行スクリプトだけで引き起こされるため非常に簡単かつ重大です。
この問題を修正するパッチはリリース済みです。別の緩和策としては、Samba 自体の設定を変更することもできます。具体的には、「nt pipe support = no」引数を smb.conf ファイルのグローバル セクションに追加し、サービスを再起動することでリスクを軽減できます。POC コードはインターネット上ですでに公開されているため脆弱性は攻撃者の間で認識され始めており、組織の内外で脆弱性を突いた攻撃が広まるのも時間の問題です。
該当バージョンの Samba を実行しているサーバや、NAS システムなどのストレージ デバイスを含め、影響を受けるデバイスは非常に多く存在します。ベンダーに連絡して問題修正済みファームウェアを入手するか、または推奨対策を尋ねることが強く奨励されます。それまでの間は上記の緩和策を取り、ネットワーク内の SMB、Samba、CIFS、NFS などのシステムについてはベストプラクティスに従ってインターネットからの直接アクセスを遮断してください。
カバレッジ
Snort ルール:43002-43004
オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
CWS や WSA の Web スキャンは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されるマルウェアを検出します。
NGFW や NGIPS、および Meraki MX などのネットワーク セキュリティ アプライアンスにより、この脅威に関する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。
Umbrella は悪意のあるアクティビティに関連付けられているドメインの DNS 解決を防止します。
Stealthwatch は、ネットワーク スキャニング アクティビティ、ネットワーク伝達、および CnC インフラストラクチャへの接続を検出し、これらのアクティビィテについて管理者にアラートを発行します。
本稿は 2017年5月25日に Talos Group のブログに投稿された「Samba Vulnerability: Dancing Its Way to a Network Near You」の抄訳です。