SambaCry Vulnerability: Μία ευπάθεια στις εγκαταστάσεις του Samba σε συστήματα Linux επιτρέπει επιθέσεις για μια τεράστια επιχείρηση εξόρυξης κρυπτο-νομισμάτων.
Οι ενέργειές των κακόβουλων χρηστών ξεκίνησαν περίπου πέντε ημέρες μετά την ανακοίνωση της ομάδας ανάπτυξης του Samba για τη δημιουργία του patch CVE-2017-7494, που επιδιορθώνει μια ευπάθεια σε όλες τις εκδόσεις του Samba που κυκλοφόρησαν από το 2010.
Επειδή η ευπάθεια είναι εκμεταλλεύσιμη μέσω του πρωτοκόλλου SMB και επειδή το ζήτημα έμοιαζε με την ευπάθεια που χρησιμοποιούσε το ransomware WannaCry, ορισμένοι ερευνητές άρχισαν να αναφέρουν το σφάλμα σαν SambaCry ή EternalRed.
Σε τεχνικό επίπεδο, μια επιτυχημένη εκμετάλλευση του SambaCry επιτρέπει σε έναν εισβολέα να ανοίξει ένα “pipe” ή μια δίοδο στους διακομιστές του Samba, να ανεβάσει κακόβουλο κώδικα και να τον εκτελέσει. Ανάλογα με το επίπεδο δεξιοτήτων του εισβολέα, θα μπορούσε κανείς να επιτύχει πολύ εύκολα τον πλήρη έλεγχο του διακομιστή.
Αυτό ακριβώς και συνέβη. Ξεκινώντας από τις 30 Μαΐου, hackers άρχισαν να πραγματοποιούν μαζικές σαρώσεις που αναζητούσαν ευπαθείς διακομιστές ανταλλαγής αρχείων Samba.
Αφού ανακάλυψαν εγκαταστάσεις Samba, οι εισβολείς άρχισαν να φορτώνουν και να τρέχουν κακόβουλο κώδικα στα μηχανήματα των θυμάτων τους.
Η επίθεση γίνεται με δύο κακόβουλα αρχεία: το ένα είναι ένα remote shell με πλήρη πρόσβαση root, ενώ το δεύτερο είναι μια τροποποιημένη έκδοση της δημοφιλούς εφαρμογής εξόρυξης κρυπτο-νομισμάτων που ονομάζεται cpuminer.
Εμπειρογνώμονες από την Kaspersky Labs που παρακολουθούν τις επιθέσεις αναφέρουν ότι ο απατεώνας ή οι απατεώνες πίσω από αυτή τη λειτουργία εξόρυξαν κρυπτο-νομίσματα Monero χρησιμοποιώντας τα συστήματα Linux που κατάφεραν να παραβιάσουν.
Η παρακολούθηση των επιτιθέμενων ήταν εύκολη, επειδή κωδικοποίησαν τη διεύθυνση του Monero wallet μέσα στον πηγαίο κώδικα του EternalMiner. Μέχρι τώρα οι ερευνητές αναφέρουν ότι οι hackers έχουν καταφέρει να εξορύξουν 98 Monero, περίπου 5.400 δολάρια στη σημερινή τιμή.
Σύμφωνα με τους ερευνητές της ασφάλειας της Rapid7, από τη στιγμή που έγινε γνωστό το θέμα του SambaCry, στις 25 Μαΐου υπήρχαν περίπου 104.000 υπολογιστές εκτεθειμένοι στο Internet που χρησιμοποιούσαν ευάλωτες εκδόσεις του λογισμικού Samba. Ο αριθμός μειώθηκε καθώς πολλοί διαχειριστές ενημέρωσαν τα συστήματά τους, αλλά υπάρχουν ακόμα πολλοί τρωτοί διακομιστές που επιτρέπουν κοινή χρήση αρχείων.
