Sécurité IT : comme un air de WannaCry dans le monde Unix

Le couple SambaCry – EternalRed est-il à Unix ce que le duo WannaCry – EternalBlue est à Windows ? Pas tout à fait, mais il y a des ressemblances.

Partie intégrante du kit FuzzBunch utilisé par la NSA à des fins de cyberespionnage, l’exploit EternalBlue avait fuité au mois d’avril à l’initiative des Shadow Brokers, groupe de pirates ayant déjà éventé d’autres secrets de l’agence américaine.

Il a constitué, sur les OS Windows, un vecteur de propagation du ransomware WannaCry, au travers d’une faille (CVE-2017-0144) dans le protocole SMB pour le partage de ressources sur des réseaux locaux.

Depuis fin mai, on entend parler d’une vulnérabilité similaire (CVE-2017-7494) visant Samba, c’est-à-dire l’implémentation de SMB sur Unix.

La communauté des chercheurs en sécurité IT lui a donné le nom d’EternalRed. Elle touche toutes les versions de Samba depuis la 3.5.0 sortie en 2010.

Un correctif a été diffusé automatiquement pour les dernières moutures (4.6.4, 4.5.10 et 4.4.14). En fonction des plates-formes, le patch doit être appliqué manuellement sur les plus anciennes.

Par ici la (crypto)monnaie

À l’aide de son pot de miel (infrastructure spécialement conçue pour l’étude des attaques informatiques), Kaspersky Lab a constaté que la faille était principalement exploitée pour le minage d’une cryptomonnaie ; en l’occurrence, le monero.

Première étape : déposer, sur un volume partagé auquel la machine ciblée accède via Samba, un fichier malveillant, puis l’exécuter.

Certains systèmes sont d’autant plus vulnérables qu’ils ne requièrent pas d’authentification pour avoir les droits en écriture sur le stockage réseau.

Le fichier malveillant en question prend, dans le scénario d’attaque observé par Kaspersky, la forme d’une bibliothèque logicielle.

Celle-ci s’exécute en mode super-utilisateur pour donner un accès à distance au shell (/bin/sh) sur le poste visé. Une condition toutefois : connaître le chemin d’accès exact dans l’arborescence du volume partagé. Une technique de force brute est utilisée à ces fins, en testant les noms de dossiers les plus courants.

Des échappatoires

Une fois en mémoire virtuelle, le fichier est supprimé du stockage réseau. Est alors téléchargé, depuis un domaine enregistré il y a quelques semaines, l’outil open source cpuminer, dans une version améliorée exécutable sans paramètres additionnels.

Le porte-monnaie électronique associé contenait, au 8 juin 2017, environ 100 moneros, soit près de 5 000 euros au cours actuel ; sachant que les premières sommes avaient été créditées le 30 avril.

D’après F5 Networks, qui se base sur les données du « moteur de recherche IoT » Shodan, il existe, dans le monde, au moins un million de systèmes non équipés de Windows dont le port TCP 445 – utilisé par Samba – est grand ouvert.

Une attaque échouerait probablement sur certains de ces systèmes, que ce soit parce que Samba y a été patché, que SELinux est activé (il l’est pas défaut sur des distributions comme Red Hat Linux, même s’il arrive de devoir le couper pour éviter les interférences avec des logiciels tiers), que les volumes partagés sont montés en « noexec » ou que le paramètre « nt pipe support » est désactivé dans le fichier smb.conf.