Wer unter Linux einen Samba Data- und Druck-Server betreibt, sollte diesen dringend patchen. Seit 7 Jahren klafft eine jetzt gefundene Sicherheitslücke im Samba-Server.
Anzeige
Auf Samba.org warnt man in diesem Dokument, dass die Sicherheitslücke ab Samba 3.5.0 und höher existiert. Es handelt sich um eine Remote Code Execution-Schwachstelle. Ein Angreifer kann über einen Client eine Shared Library auf eine Freigabe, auf der Schreibberechtigung existiert, hochladen. Diese Bibliothek kann dann zur Ausführung gebracht werden.
Die Entwickler haben einen Patch bereitgestellt (aber nur für Samba 4.4.x, 4.5.x und 4.6.x). Distributionen wie Debian, Red Hat, Suse und Ubuntu bieten Updates. heise.de schreibt hier, dass die Lücke einen ähnlichen Impact wie WannaCry unter Windows haben kann und dass bereits ein Exploit in Umlauf sei. Ein paar zusätzliche Informationen finden sich bei Bleeping Computer. So ließen sich die Angriffe per Skript automatisieren. Und die Sicherheitsfirma Rapid7 gibt an, mehr als 110.,000ISamba-Server, die über Internet erreichbar sind, gefunden zu haben.
Wer seinen Samba-Server nicht patchen kann, sollte in der Datei smb.conf den Eintrag:
nt pipe support = no
Anzeige
ergänzen. Dies sperrt die Verwendung von pipes, so dass kein Schadcode mehr auf dem Samba-Server mehr hoch geladen und ausgeführt werden kann. Die Sicherheitslücke dürfte vor allem viele NAS-Geräte und Backup-Lösungen betreffen, die mit Linux und integriertem Samba-Server laufen.
Anzeige
Die Auswirkungen eines Massenexploits dürften sicher nicht so gravierend werden wie bei WannaCry aber dafür lassen sich dann möglicherweise die übernommenen Geräte in ein Botnetz integieren und damit gibt es dann noch größere DDoS-Attacken in der Zukunft.
Ich gehe einmal von der Annahme aus, dass von den 110.000 offenen SMB-Ports auch noch Monate nach diesem Vorfall mehr als 50% davon angreifbar sein werden bzw. die dahinter stehenden Geräte übernommen worden sind.
Meines Dafürhaltens müsste man eigentlich einen IT-Führerschein einführen, um Geräte mit Netzwerkanschlüssen gleich welcher Art betreiben zu können. Gleichzeitig müssten Hersteller über ein obligatorisches Zertifikat nachweisen, dass ihre Geräte noch zu erstellenden Qualitäts- und Sicherheitsstandards entsprechen. Dazu müsste auch gehören, dass man in der Lage ist, einen Firmware-Patch innerhalb kürzester Zeit zur Verfügung zu stellen. Provider müssten, wenn sie festellen, dass Geräte ihrer Kunden zu DDoS-Attacken oder ähnlichem verwendet werden, diesen den Zugang zum Internet sperren. Der Nachteil allerdings wäre, dass die Preise für IoT-Geräte aber auch andere internetfähige Geräte sich deutlich verteuern würden. Auch die Provider dürften den Mehraufwand für Monitoring-Tools bzw. höheren Personalbedarf in ihre Preiskalkulation einfließen lassen.
Ich wüsste nicht, mit welchen Maßnahmen man sonst ein immer größer werdendes Problem in den Griff bekommen sollte. Ich fürchte nur, dass sich augenblicklich Gesetzgeber weder auf nationaler, noch auf internationaler Ebene zu solchen Entscheidungen aufraffen dürften. Also bleibt alles so wie es ist und das Internet ist in absehbarer Zeit kaum noch benutzbar. Ob dann der Druck der großen IT-Firmen auf deren jeweilige Regierungen ausreichen würde?
Wenn ich pessimistisch schätze, wird am Ende wieder der Endanwender der Dumme sein und in die alleinige Verantwortung genommen werden. Das würde bedeuten, dass ein Betreiber eines Gerätes mit einem Internetanschluss in Regress genommen werden könnte, wenn das Gerät eine Sicherheitslücke aufwiese und dieser nicht rechtzeitig nach Bekanntwerden der Lücke Gegenmaßnahmen getroffen hat. Wenn der Hersteller keinen Patch veröffentlicht hat, müsste dann der Betreiber im Zweifelsfall das Gerät sofort vom Netz nehmen, wenn es keine andere Lösung gäbe. Bei dieser Lösung müssten aber trotzdem die Provider mitspielen, denn wer sollte sonst in der Lage sein, festzustellen, wenn ein Gerät eines Kunden plötzlich verdächtige Netzwerkpakete aussendet.
Für unsere Synology NAS Geräte kam heute bereits ein Patch bzw. ein DSM Update. Ich denke, dass auch QNAP entsprechend schnell reagiert hat.
Wie es allerdings bei anderen Herstellern, insbesondere bei No-Name Geräteherstellern aus Fernost aussieht steht in den Sternen…
Synology hat jedenfalls schnell und kompetent darauf reagiert!
Auch FreeNAS hat direkt reagiert und bietet einen Patch an, der über System -> Updates installiert werden kann.