5月24日, Samba软件爆出严重的远程代码执行漏洞(与“永恒之蓝”类似),Samba 3.5.0之后的排除4.6.4、4.5.10、4.4.14之外的所有版本均可以利用编号为CVE-2017-7494的漏洞引发蠕虫攻击,对服务器进行恶意代码执行。
一、Samba基本情况
Samba软件是Linux和UNIX系统下的SMB协议服务软件主要提供文件和打印机网络共享服务,使用后开放445端口,攻击者可通过远程访问445端口提供的可写的共享目录,上传恶意的链接库文件,利用Samba程序漏洞使服务端程序加载并执行。由于Samba程序默认具有root执行权限,攻击者可进一步对服务器实施攻击控制。该漏洞与之前爆发的“永恒之蓝”漏洞类似,都是针对SMB协议下的445端口实施攻击,一旦利用该漏洞实施攻击,可形成大面积蠕虫病毒传播,危害巨大。受影响的Samba软件版本主要有:Samba 4.6.4之前的版本、4.5.10之前的版本和4.4.14之前的版本。
二、防范措施建议
(一)升级系统补丁。目前厂商已经发布了升级补丁以修复此安全问题,补丁链接如下:https://www.samba.org/samba/security/CVE-2017-7494.html;
(二)使用源码安装的Samba用户,请尽快下载最新的Samba版本手动更新;
(三)关闭不必要的关口。一是关闭计算机的445端口和135、137、138、139等不必要开放的端口。二是限制外部对445端口的访问,加强内网审计。如发现大量扫描139、135、445端口的网络行为,及时定位扫描发起点,对扫描设备进行病毒查杀,立即断网防止进一步扩散;
(四)做好定期备份。对网站、业务应用等重要信息系统的程序(含源代码、应用程序等)、后台数据库存储的重要数据信息等定期做备份工作,采取本地备份、异地备份等多种方式,加强数据安全保护。