Samba una puerta abierta a los sistemas linux para ataques remotos.

Samba es una implementación libre del protocolo de archivos compartidos de Microsoft Windows.

Ahora bien últimamente solo se ha hablado de las recientes metidas de patas de Microsoft, con las vulnerabilidades que no dejan de salir a la luz de las pantallas de los Ciber-delincuentes, ahora es turno de sistemas Unix y Linux con Samba.

Pero en este caso tenemos el software open-source Samba (Re-implementación del protocolo de red SMB) que corre en la mayoría de los sistemas operativos como Windows, Linux, UNIX, IBM System 390 y OpenVMS.

Una vulnerabilidad critica que tiene 7 años de antigüedad, que permite al atacante tomar control de los sistemas linux y Unix de forma remota.

La vulnerabilidad de ejecución remota de código recién descubierto ( CVE-2.017-7.494 ) afecta a todas las versiones más recientes que Samba 3.5.0 que fue lanzado el 1 de marzo de 2010.

“Todas las versiones de Samba desde 3.5.0 en adelante son vulnerables a una vulnerabilidad de ejecución remota de código, permitiendo que un cliente malicioso para cargar una biblioteca compartida en un recurso compartido de escritura, y luego hacer que el servidor para cargar y ejecutar él,” Samba escribió en un asesor publicado el miércoles.

Según Shodan tendríamos un posible EternaBlue para Linux y Unix?.

De acuerdo con el motor de búsqueda de equipo Shodan, más de 485.000 ordenadores habilitados para Samba expuestos puerto 445 a través de Internet.

Y de acuerdo con los investigadores de Rapid7 , más de 104.000 endpoint expuestas a Internet parecían estar corriendo versiones vulnerables de Samba, de los cuales 92.000 están corriendo versiones no soportadas de Samba.

Ya que Samba es el protocolo SMB implementado en los sistemas Linux y UNIX, por lo que algunos expertos están diciendo que es “versión para Linux de EternalBlue ,” utilizado por el ransomware WannaCry.

Teniendo en cuenta el número de sistemas vulnerables y facilidad de explotar esta vulnerabilidad, podría ser explotado en gran escala con capacidades wormable.
Las redes domésticas con almacenamiento conectado en red (NAS) también podrían ser vulnerables a esta falla.

El código de explotación de lanzamiento! (Bonus: Metasploit Module)

Metasploit-samba

La falla en realidad residía en la forma de Samba maneja bibliotecas compartidas.

Un atacante remoto podría utilizar este módulo arbitrario de la vulnerabilidad Samba para cargar una biblioteca compartida a una parte grabable y luego hacer que el servidor cargue y ejecute el código malicioso.

La vulnerabilidad es super fácil de explotar. Sólo se requiere una línea de código para ejecutar código malicioso en el sistema afectado.

simple.create_pipe ( “/ ruta / a / target.so”)

Sin embargo, el exploit de Samba ya ha sido cargado a Metasploit , un marco de pruebas de penetración, permitiendo a los investigadores, así como los hackers para aprovecharse de este problema fácilmente.

Parche y mitigaciones

Los mantenedores de Samba tiene ya parcheado el tema en sus nuevas versiones y versiones de Samba 4.6.4 / 4.5.10 / 4.4.14 , y están instando a los que utilizan una versión vulnerable de la samba para instalar el parche tan pronto como sea posible.

Pero si no se puede actualizar a las últimas versiones de Samba de inmediato, se puede trabajar en torno a la vulnerabilidad al agregar la siguiente línea al archivo de configuración smb.conf Samba:

nt pipe support = no

Una vez añadido, reinicie el demonio SMB de la red (smbd) y ya está.

Este cambio va a evitar que los clientes accedan plenamente algunas máquinas de la red, así como desactivar algunas funciones que se esperan para los sistemas Windows conectados.

Mientras que los vendedores de distribución de Linux, incluyendo Red Hat y Ubuntu, ya se han publicado versiones parcheadas para sus usuarios.

El riesgo más grande es que parte de los consumidores de dispositivos NAS que podrían no estar actualizada la misma rapidez.

Craig Williams de Cisco, dijo que, dado el hecho de que la mayoría de los dispositivos NAS ejecutan Samba y tienen datos muy valiosos, la vulnerabilidad “tiene potencial para ser el primero a gran escala gusano ransomware para Linux”.

Actualizar:  mantenedores de Samba también han proporcionado los parches para las versiones anteriores y no soportadas de Samba.

Mientras tanto, Netgear publicó un aviso de seguridad de CVE-2.017 hasta 7494, diciendo que un gran número de sus routers y modelos de productos NAS se ven afectados por la falla debido a que utilizan Samba versión 3.5.0 o posterior.

Sin embargo, la compañía actualmente en libertad correcciones de firmware sólo para productos ReadyNAS ejecutan OS 6.x.

Fuente:http://thehackernews.com/

#HackNic – Shadow77

Ares y no hablamos de descargas P2P, hablamos de Botnet.

Una Botnet no es nada más que muchas computadoras infectadas que responden a un C&C (Command and Control server).

Usos habituales de las botnets

Estas redes son usadas en general para generar dinero a través de usos que generan dinero a sus controladores. Entre los usos más comunes están:

  • Ataques de denegación de servicio distribuidos (DDoS)
  • Envío de Spam
  • Minería de Bitcoins
  • Robo de Bitcoins

Ahora ARES BOTNET:

Ares es una herramienta de acceso remoto compuesta por un panel de control donde podremos interaccionar con los bots.
El cliente es un programa escrito en python el cual puede ser compilado como un ejecutable win32 usando PyInstaller.

Instalación:

  • Clonamos el Repositorio:
git clone https://github.com/sweetsoftware/Ares.git
  • Una vez descargado el repositorio pasaremos a instalar las dependencias:
pip install pythoncom 
pip install pyhook 
pip install PIL 
pip install requests
A continuación configuraremos el agente de la manera que queramos, settings.py
Nos dirigimos a la ruta Ares/agent/python/settings.py

Este fichero contiene lo siguiente:

-SERVER_URL = URL del servidor http 
-BOT_ID = el nombre (singular) del bot
-DEBUG =  imprimir mensajes de depuración en la salida estándar
-Idle_time = tiempo de inactividad antes de entrar en el modo de espera.
-REQUEST_INTERVAL = intervalo entre cada consulta a la CNC cuando se activa
-PAUSE_AT_START = tiempo de espera antes de contactar con el servidor cuando se inicie (en segundos)
-AUTO_PERSIST = por defecto el agente es persistente

fichero de configuración del server

Una vez todo en orden pasaremos a instalar el server:

  • primero debemos crear la base de datos SQLite

cd server
python db_init.py

  • Si no esta instalado el paquete cherrypy deberemos instalarlo
pip install cherrypy
  • Bien, a continuacion iniciaremos el server,
 python server.py

Por defecto el servidor escucha en http://localhost:8080

  • Por último utilizaremos PyInstaller para compilar el agente en un único archivo EXE:
cd agent
PyInstaller --onefile --noconsole agent.py

Recuerden que deberemos iniciar el server y la bbdd antes de lanzar el script.

Aquí deberemos establecer un pass para el Panel de Control

 

Mediante el fichero agent.py conseguiremos el bot, yo lo que he hecho ha sido ejecutarlo desde la consola

Bot list

 

Nos da una Shell no es muy llamativa pero es funcional

 

Fuente: https://github.com/sweetsoftware/Ares

#HackNic – Shadow77

ExploitPack un juguete mas para los Pentester’s.

Pentesting es el proceso de descubrir vulnerabilidades y que crea adiccion a quien lo practica.

A la hora de realizar un trabajo de pentesting las herramientas que usas son algo fundamental para hacer el proceso mas sencillo y mas completo, esta vez me eh encontrado con una herramienta que puede ser prometedora.

ExploitPack ha sido diseñado por un experimentado equipo de desarrolladores de software y coders de exploit para automatizar los procesos para pentesting y puedan concentrarse en lo que es realmente importante, “La amenaza”. Esta mezcla de los ingenieros de software y expertos en la materia proporciona una ventaja única mediante la combinación de técnicas know-how con una visión verdadera en el conjunto de problemas, lo que resulta en más eficiente soluciones para la vigilancia de la seguridad cibernética.

Instalación:

  • Clonar el repositorio de github
    • git clone https://github.com/juansacco/exploitpack.git
  • En Windows:
    • Instalar java 8 de Oracle
    • Ejecutar ExplotPack.jar o desde la terminal en la carpeta del repositorio “ java -jar ExploitPack.jar ”
  • En Linux (en cualquier distribución de Linux que soporta paquetes DEB como Ubuntu, Debian, Kali, etc):
    • Usa los siguientes comandos para instalar java 8 de los repositorios oficiales:

echo “deb http://ppa.launchpad.net/webupd8team/java/ubuntu trusty main” >> /etc/apt/sources.list

echo “deb-src http://ppa.launchpad.net/webupd8team/java/ubuntu precise main” >> /etc/apt/sources.list

sudo apt-key adv –keyserver keyserver.ubuntu.com –recv-keys EEA14886

sudo apt-get update

sudo apt-get install oracle-java8-installer

    Ejecutar ExplotPack.jar o desde la terminal en la carpeta del repositorio “ java -jar ExploitPack.jar ”

Fuente: https://github.com/juansacco/exploitpack

#HackNic  Shadow77