Alerte à la faille sur Samba : un potentiel WannaCry sauce Linux

CloudRisquesSécuritéVirus
faille-samba-securite-linux

Après le « ransomworn » WannaCry sur Windows, Rapid7 (sécurité IT) suit l’évolution d’une faille sur Samba (partage de fichiers) pour serveurs Linux.

Un WannaCry version Linux en cours de gestation ? Concevable mais pas d’actualité. Rapid7, éditeur américain de solutions de sécurité IT, vient de soumettre une nouvelle vulnérabilité susceptible de se transformer en malware défiant les chroniques.

Comme WannaCry l’a fait il y a 15 jours en exploitant une faille « critique » sur le serveur SMB Microsoft Windows et affectant plusieurs centaines de milliers d’ordinateurs.

Cette fois, la nouvelle faille de sécurité concerne Samba, du nom d’un logiciel pour serveur Linux pour le partage de dossiers et d’imprimantes entre différentes machines en réseau local.

« Alors que le ‘ransomworm’ ‘WannaCry’ avait impacté les systèmes Windows et était aisément identifiable avec des étapes claires de remises à niveau, « la vulnérabilité de Samba va impacter les systèmes Linux et Unix et pourrait présenter des obstacles techniques significatifs pour obtenir ou déployer des remèdes », selon l’éditeur.

Dans un update de contribution blog de Rapid7 en date du 25 mai, l’éditeur a trouvé 214 000 terminaux de type endpoint vulnérables dans le monde (deux ports affectés : 445 et 139).

Vigilance

Mais, selon Rapid7, la remise à niveau de Samba est tout simplement impossible dans une Le jour précédent, le ministère américain de la Sécurité intérieure (U.S. Department of Homeland Security) avait émis une alerte afin d’informer les administrateurs de réactualiser leur version de Samba (en passant de 3.5.x à 4.4.x quand c’est possible).

De son côté, le CERT-FR (cellule de veille informatique) a également émis une alerte en date du 24 mai portant sur une vulnérabilité dans Samba (avec un risque « d’exécution de code arbitraire à distance »).

Rebekah Brown, une chercheuse qui collabore avec la R&D de Rapid7, a précisé à Reuters qu’elle n’a pas observé d’assaut à partir de la faille sur Symba. Mais elle assure que la vulnérabilité serait facile à transformer en vecteur d’attaque à la WannaCry.

Cette semaine, les soupçons de connivence entre le ransomware Wannacry, qui a infecté plus de 300 000 PC en entreprise dans 150 pays, et le groupe de cyber-pirates Lazarus se sont renforcées. Ils sont soutenus par Kim Heung-Kwang, un professeur d’informatique Nord-coréen qui est passé en Corée du Sud en 2004, mais aussi par Symantec.

L’éditeur américain de solutions de sécurité IT a réactualisé un rapport à ce sujet en début de semaine (à lire dans une contribution blog en date du 22 mai).

On attribue à Lazarus un détournement de fonds de 81 millions de dollars à l’insu de la banque centrale du Bangladesh par l’intermédiaire du réseau interbancaire de transactions internationales Swift. Ce groupe de cybercriminels serait aussi à l’origine de l’attaque du studio Sony Pictures en 2014, rappelle Silicon.fr.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur