Non c'è solo WannaCry: importante proteggersi anche da SambaCry

WannaCry lo conoscono anche i sassi. Si tratta del malware che si è diffuso in tutto il mondo a maggio scorso: la sua principale particolarità è che si tratta di una minaccia wormable ossia capace di effettuare una scansione della rete locali e dei sistemi remoti, via Internet, per individuare nuovi bersagli da aggredire.
Per diffondersi in Windows, WannaCry (insieme con diverse altre varianti che si sono susseguite nelle ultime settimane, NotPetya compreso) sfrutta una vulnerabilità del sistema operativo nell’implementazione del protocollo SMB, per la condivisione di file e stampanti: vedere Come verificare la presenza della patch MS17-010 che protegge da WannaCry e Verificare se i sistemi sono attaccabili da WannaCry e NotPetya.

Ad ogni, nonostante purtroppo siano in molti a non aver ancora installato la patch MS17-010, il problema sembra essersi spostato su Linux.
Come avevamo segnalato alcune settimane fa, una falla di sicurezza molto simile a quella sfruttata da WannaCry esiste anche in ambiente Linux: Samba vulnerabile: il problema è molto simile a quello sfruttato da WannaCry.
Anzi, dovremmo dire “esisteva”, all’imperfetto, perché per tutte le principali distribuzioni Linux sono già da tempo disponibili le patch risolutive che consentono di ripararsi da SambaCry.

Il problema restano i tantissimi dispositivi hardware basati su kernel Linux perché amministratori di sistema e utenti sono scarsamente propensi ad aggiornarne il firmware. Così, dispositivi che offrono funzionalità di condivisione utilizzando Samba – progetto libero che su Linux fornisce servizi di condivisione di file e stampanti a client SMB/CIFS -, compatibile con l’implementazione di SMB di Microsoft Windows, rischiano di essere aggredibili. Il risultato è che un utente remoto potrebbe essere in grado di accedere al contenuto del dispositivo vulnerabile, sottrarre dati e installarvi codice dannoso.

Trend Micro ha denunciato in queste ore la scoperta di ShellBind, un codice malevolo che aggredisce i dispositivi basati su Linux con una versione di Samba non aggiornata e che è in grado di aprire una backdoor sul device attaccato.
Dopo l’aggressione, i malintenzionati possono comodamente accedere al dispositivo usando una shell dei comandi.

ShellBind è in grado di bersagliare dispositivi hardware che usano differenti architetture: MIPS, ARM e PowerPC. La minaccia è quindi particolarmente grave se si pensa che può assumere il controllo di qualunque server NAS usato per la memorizzazione di file personali e risorse aziendali.

L’infezione, comunque, parte sempre da una scorretta configurazione della rete locale: esporre le porte di un NAS o di un dispositivo che usa Samba sulla rete Internet significa “volersi far del male”. Si tratta di un atteggiamento irresponsabile che espone a rischi enormi.
Per proteggersi nei confronti di attacchi provenienti dalla rete Internet, anche con una versione di Samba non aggiornata, basta collegare il dispositivo a valle di un semplice router con funzionalità NAT/firewall e assicurarsi che le sue porte non siano esposte sull’IP pubblico.
L’installazione degli aggiornamenti firmware per i dispositivi hardware, per i sistemi Windows, Linux e macOS, va poi effettua a prescindere, per proteggersi anche da eventuali malware che, malauguratamente si diffondessero partendo dalla singola workstation di un utente.

Nell’articolo Come rendere la rete sicura sia in azienda che a casa abbiamo presentato tutti i suggerimenti migliori per proteggere la rete locale e i dati memorizzati sui singoli sistemi, anche da minacce come WannaCry, NotPetya e SambaCry.

Marco Gioanola, Cloud Services Architect di Arbor Networks, ricorda anche quanto sarà importante mantenere aggiornati e gestire adeguatamente i dispositivi del mondo IoT (Internet delle Cose): “si stima che ci siano in circolazione tra i 6 e i 12 miliardi di dispositivi IoT e questo numero è destinato a superare i 20 miliardi entro il 2020. I dispositivi IoT, per loro natura, devono essere di facile utilizzo e questa caratteristica purtroppo si traduce spesso in scarsa considerazione in termini di sicurezza“.
E continua Gioanola: “individui e aziende devono implementare le best practice, segmentando le reti e mettendo in atto le corrette limitazioni all’accesso in modo che i dispositivi IoT possano comunicare solo con servizi e utenti autorizzati. Le password predefinite devono essere sempre modificate e gli aggiornamenti dei firmware vanno sempre installati, per rimuovere eventuali vulnerabilità“.

Trovare i sistemi Linux vulnerabili a SambaCry

Per individuare i sistemi Linux vulnerabili a SambaCry e connessi alla propria rete locale, è possibile sfruttare lo script NMAP disponibile a questo indirizzo.

Nel caso in cui non si potesse aggiornare Samba, per proteggersi da eventuali attacchi è possibile inserire la direttiva nt pipe support = no nella sezione [global] del file smb.conf quindi riavviare il daemon di Samba con smbd.