Exploit RCE pada Samba Mungkinkan Hacker Retas Sistem Linux dari Jarak Jauh

1044
Metasploit Samba

Baru baru ini ditemukan celah pada Samba File Sharing berupa RCE (Remote Code Execution) yang memungkinkan hacker dapat mengeksploitasi sistem operasi Linux dari jarak jauh memanfaatkan exploit samba layaknya eksploit EternalBlue yang menyerang sistem operasi Windows beberapa waktu lalu.

Samba adalah implementasi dari SMB protocol yaitu protocol yang digunakan oleh sistem operasi MS seperti MS Windows untuk men-sharing file dan printer. Dengan SMB anda bisa mengakses file & printer yang di-share oleh komputer Windows atau men-share file & printer di komputer linux anda.

Celah baru dengan CVE CVE-2017-7494 ini mencakup versi 3.5.0 yang dirilis pada Maret 2010 dan versi diatasnya.

All versions of Samba from 3.5.0 onwards are vulnerable to a remote code execution vulnerability, allowing a malicious client to upload a shared library to a writable share, and then cause the server to load and execute it.“, Begitulah yang tertulis pada laman advisory milik Samba.

exploit samba

Menurut data dari Shodan, Lebih dari 485,000 komputer dengan samba yang dijalankan pada port 445 terekspos Internet, dan menurut penelitian Rapid7, lebih dari 104,000 merupakan versi yang rentan dengan celah exploit samba ini.

HD Moore, yang merupakan wakil presiden penelitian dan pengembangan di Atredis Partners, memposting gambar berikut yang menunjukkan keberhasilan eksploitasi terhadap Samba di komputer yang menjalankan perangkat Ubuntu dan NAS yang dibuat oleh Synology.

Exploit :

Metasploit Samba

Exploit code yang diporting ke Metasploit sudah tersedia. Untuk pemasangan dan eksploitasinya bisa kalian cek disini :

Samba 3.5.0 – Remote Code Execution (CVE-2017-7494) Metasploit

Patch:

maintainer Samba telah menyediakan patch di versi terbaru mereka 4.6.4/4.5.10/4.4.14. Dan buat yang menggunakan versi yang memiliki kerentanan disarankan segera mengupdate versi samba nya sesegera mungkin.

Namun jika kalian mengalami kegagalan saat menginstall versi baru attau tidak dapat melakukan update sebera, kalian bisa mencegah eksploit ini dengan menambahkan kode berikut ke smb.conf

nt pipe support = no

Selanjutnya silahkan direstart servis samba daemon (smbd). perubahan itu akan membatasi pengguna untuk mengakses jaringan pada komputer.

Beberapa vendor distribusi linux seperti Ubuntu dan Red Hat juga sudah menyediakan versi patch untuk penggunanya. Jadi untuk kalian pengguna linux khususnya yang mengaktifkan fitur Samba diharapkan segera melakukan update. (jack/lsc)