Tin tặc sử dụng lỗ hổng SambaCry để tấn công hệ thống Linux

09:59 | 27/06/2017

Ngày 24/5/2017, một lỗ hổng trong phần mềm mã nguồn mở Samba đã bị phát hiện. Lỗ hổng này cho phép tin tặc kiểm soát từ xa các máy tính chạy hệ điều hành Linux và Unix.



Samba là phần mềm mã nguồn mở chạy trên phần lớn các hệ điều hành: Windows, Linux, UNIX, IBM System 390 và OpenVMS. Samba cho phép chia sẻ các thư mục, chia sẻ mạng và máy in.

Lỗ hổng SambaCry là lỗ hổng thực thi mã lệnh từ xa CVE-2017-7494 ảnh hưởng đến tất cả các phiên bản sau Samba 3.5.0 được phát hành vào ngày 1/3/2010. Lỗ hổng được đặt tên là SambaCry do sự tương đồng của nó với WannaCry: cả hai đều nhằm đến giao thức SMB và có khả năng lây lan từ hệ thống này sang hệ khác qua giao thức SMB. 

Theo công cụ tìm kiếm máy tính Shodan, gần 485.000 máy tính sử dụng phần mềm Samba có nguy cơ bị tấn công trên mạng Internet. Các nhà nghiên cứu dự đoán rằng các cuộc tấn công dựa trên lỗ hổng SambaCry cũng có tiềm năng lây lan giống như mã độc WannaCry. 

Dự đoán này khá chính xác, vì hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng (honeypots) do nhóm các nhà nghiên cứu của Kaspersky Lab thiết lập đã phát hiện một chiến dịch mã độc đang khai thác lỗ hổng của SambaCry để lây nhiễm các máy tính Linux bằng phần mềm khai thác cryptocurrency. 

Theo các nhà nghiên cứu, một nhóm tin tặc đã bắt đầu tấn công các máy tính Linux khi lỗ hổng trong phần Samba được tiết lộ công khai và cài đặt một phiên bản nâng cấp của CPUminer, phần mềm khai thác mật mã cryptocurency và Monero.

Cách thức tấn công lỗ hổng SambaCry 

Tin tặc thực hiện hai payload trên các hệ thống mục tiêu: INAebsGB.so - một đoạn mã đảo ngược (reverse-shell) cung cấp truy cập từ xa cho kẻ tấn công và CblRWuoCc.so - một backdoor bao gồm các tiện ích khai thác giao thức mật mã CPUminer. 

Các nhà nghiên cứu của Kaspersky Lab cho biết, thông qua đoạn mã đảo ngược trong hệ thống, tin tặc có thể thay đổi cấu hình hoặc lây nhiễm các loại phần mềm độc hại khác vào máy tính người dùng. 

Phần mềm Adylkuzz, một phần mềm độc hại khai thác giao thức mật mã đang sử dụng lỗ hổng Windows SMB trước khi các cuộc tấn công WannaCry bùng phát (link đến bài Vẫn từ lỗ hổng của Windows, một cuộc tấn công khác đang được dự báo là có thể lớn hơn cả WanaCry). 

Các phần mềm độc hại Adylkuzz cũng khai thác Monero bằng cách sử dụng số lượng lớn các tài nguyên máy tính của các hệ thống Windows bị xâm nhập. 

Nhà phát triển phần mềm Samba đã vá lỗ hổng này trong các phiên bản Samba mới là: 4.6.4 / 4.5.10 / 4.4.14. Người dùng cần cập nhật thông tin bản vá mới nhất để tránh sự lây lan của mã độc này.