Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2017-7494] Linux Samba RCE 취약점(=SambaCry)
작성일 2017-06-01 조회 2735

1.개요

Linux 시스템에서 사용하는 Samba 네트워킹 소프트웨어에서 7년이나 지난 치명적인 원격 코드 실행 취약점이 발견되었다. 2010년 3월 1일에 릴리즈된 Samba 3.5.0 이상인 버전에 영향을 미치고 있으며 해당 취약점은 최근 NSA에서 유출한 도구와 동일 SMB 프로토콜을 이용함으로써 업계에서는 제 2의 WannaCry가 발생한다는 우려 때문에 해당 취약점을 “SambaCry”라 부르고 있다.

 

취약점을 통해 원격의 공격자는 대상 시스템에 코드를 실행 및 제어하는 것이 가능해진다.

 

2.확인내역

현재까지(2017.05.26) 확인 된 Samba 기반 포트는 <그림 - 1> 과 같이 약 50만개 정도가 노출 되어있다. Rapid7의 연구원에 의하면 이 중에 104,000개 이상이 취약한 Samba버전을 사용 중이라 발표 했다.

 

많은 수의 기기들이 해당 취약점에 노출되어 있어 주의가 필요하다.

<그림 - 1> Samba SMB 포트 사용중인 기기 현황

 

 SMB 프로토콜 취약점을 이용하기 때문에 해당 취약점을 WannaCry의 이름에서 유래해 SambaCry이라고 부르고 있지만 실제로 작동하는 메커니즘은 WannaCry와 전혀 관련이 없다. WannaCry에서 사용한 EternalBlue 취약점은 버퍼 오버 플로우를 이용한 취약점이지만 SambaCry(CVE-2017-7494) 취약점은 임의의 공유 라이브러리로드를 이용한 취약점이다. 그리고 Windows SMB 포트는 사용자가 설정하지 않아도 사용하는 디폴트 값이지만 Linux에서는 몇 몇 버전을 제외하고 SMB 별도로 설치 및 설정하여야 한다. 그리고 공격을 성공하기 위해서는 다음과 같은 조건을 충족 해야 한다.

 


- SMB(445) 포트를 통해 파일 등을 공유 해야 함.

- 클라이언트는 공유된 폴더에 쓰기 권한이 있어야 함.

- 공유하고 있는 파일들의 경로를 알아야 함(디폴트 값 사용시에 폴더 위치 파악 가능).


 

 위와 같은 이유로 SambaCry는 NSA에서 공개된 EternalBlue등의 툴보다 공격 성공에는 제약 조건이 있다. 이 말은 CVE-2017-7494 취약점이 위험하지 않다는 의미는 아니다. CVE-2017-7494 취약점은 공유 폴더를 경로를 기본값을 사용하고 있는 경우거나,  NAS장치를 사용할 경우 Samba로 실행하고 있어서 큰 위협이 될 수도 있다. 특히 NAS 장치의 경우 벤더사의 업데이트가 늦어질 수가 있기 떄문에 각별한 주의가 필요하다.

 

3.결론

 Linux의 SMB 네트워킹 프로토콜을 사용한 Samba이용시에 취약한 버전을 사용하거나 클라이언트에게 쓰기 권한이 부여된 경우 CVE-2017-7494에 취약할 수 있다. 해당 취약점으로 공격자는 공유 폴더에 특정 코드 등을 업로드 하여 서버가 실행하게 할 수 있다. 보안 전문가인 HD Moore에 의하면 공개된 Metasploit 프레임워크 모듈을 통해 24시간 이내에 공격이 가능할 것이라고 밝혔습니다(2017.05.24). 지금은 언제든지 공격이 가능한 시점이기 때문에 해당 소프트웨어를 사용하고 있다면 업데이트 할 것을 권고합니다.

 

4.대응 방안

4-1. 해당 취약점이 패치된버전으로 업그레이드.

-https://www.samba.org/samba/history/security.html

 

4-2.  Samba 설정 파일에 pipe 기능을 비활성화.

- vi,vim 명령어등을 통해 /etc/samba/smb.conf 의 파일에 아래 명령어 추가

nt pipe support = no

- 해당 라인 추가 후 smb 서비스를 재시작

 service smb / smbd restart

(해당 기능 사용 시에 일부 기능 비활성화 될 수 있음)

 

4-3. 당사 IPS에서 아래 패턴으로 대응 가능.


[3508] Samba SharedLibrary RCE.

Snort Rule은 시큐어 캐스트에 게시.


 

 

5.참조

https://community.rapid7.com/community/infosec/blog/2017/05/25/patching-cve-2017-7494-in-samba-it-s-the-circle-of-life

http://thehackernews.com/2017/05/samba-rce-exploit.html

https://www.samba.org/samba/history/security.html

첨부파일 첨부파일이 없습니다.
태그   Samba, SambaCry, SMB, CVE-2017-7494