SambaCry: Vulnerabilidade afeta servidores Linux. O que eu preciso saber?

Na última semana foi reportada uma vulnerabilidade crítica (CVE-2017-7494 ) que permite execução remota de código no servidor SAMBA.

O SAMBA é um “software servidor” para Linux (e outros sistemas baseados em Unix) que permite o gerenciamento e compartilhamento de recursos em redes formadas por computadores com o Windows. Assim, é possível usar o Linux como servidor de arquivos, servidor de impressão, entre outros, como se a rede utilizasse servidores Windows, além de implementar as mesmas funcionalidades de um domínio Active Directory.

Trata-se de uma ferramenta muito utilizada em todo o mundo, para garantir a interoperabilidade entre as plataformas Unix e Windows.

A vulnerabilidade

A vulnerabilidade já existe há 7 anos e está sendo explorada ativamente pelos hackers. Ela afeta sistemas que tenham instalado o Samba 3.5 (lançado em 2010) e todas as versões posteriores.

Uma nota importante é que ela não faz parte da backdoor DoublePulsar, mas já foram lançados exploits (como este), inclusive para o Metasploit e circulam boatos de que um ransomware já foi escrito. Tal como o WannaCry, também o SambaCry (nome não oficial) aproveita das fragilidades do protocolo SMB.

Continue lendo

Como detectar conflitos de endereços IP no Linux

Endereços IP (IPv4) são um recurso escasso que é compartilhado por diferentes usuários e dispositivos. Ter um conflito de endereços IP significa que existem mais de um dispositivo de rede ou computador que reivindica o mesmo endereço IP. Conflito de endereço IP pode ocorrer quando um servidor DHCP atribui um endereço IP a um computador, e o mesmo endereço IP passa a ser atribuído estaticamente para outro dispositivo de rede por alguém.

Conflito de endereço IP também pode acontecer quando há mais de um servidor DHCP (geralmente em um roteador) ligado à rede local, de forma autônoma dando endereços IP a partir da mesma sub-rede. É comum  que este tipo de equipamento volte para as configurações de fábrica, devido a algum problema de hardware ou de energia.

Isto pode gerar uma grande dor de cabeça para o administrador da rede, principalmente quando o endereço IP é de um servidor ou roteador/gateway da rede. Pode nos gerar um grande transtorno em que poderemos nos confundir no diagnóstico, porque a conexão fica intermitente.

O sistema operacional Microsoft Windows já alarma na tela quando este problema ocorre. Mas no Linux isto não acontece por padrão. Entretanto existem várias ferramentas que podem nos auxiliar nisto. Neste artigo iremos falar rapidamente do arp-scan.

Continue lendo

Instalação de um DC Active Directory com Samba 4 no Debian Squeeze

Samba é um software livre responsável por prover interação de computadores rodadebianndo sistemas operacionais do tipo Unix (Linux, por exemplo) e em sua versão 4 ele permite a integração com o Active Directory possibilitando que o controlador do AD não seja obrigatoriamente um computador executando Microsoft Windows.

Este pequeno roteiro mostra como realizar uma simples instalação do Samba 4 no Debian Linux Squeeze criando um domínio Active Directory. O suporte ao serviço de DNS será feito com o recurso interno do próprio Samba.

Iremos assumir que o domínio criado será o “smb.mps.eti.br” com o nome NetBIOS “SMB” e o sistema de arquivos do local da instalação é um EXT3/4.

Continue lendo

BIND como servidor de DNS para o Samba 4 no Debian Squeeze

O Samba 4 como AD pode ser configurado com três opções para serviço de DNS:

SAMBA_INTERNAL: O serviço interno de DNS dodebian Samba é utilizado, todo o controle do DNS fica a cargo do Samba.

BIND9_FLATFILE: O controle do DNS fica a cargo do Bind através de arquivos de configuração que o Samba gera (modo não recomendado mais por causa da outra forma descrita abaixo).

BIND9_DLZ: O controle do DNS fica a cargo do serviço Bind utilizando a interface DLZ (Dynamically Loadable Zones) onde sempre que o Bind precisar ele irá pedir ao Samba as informações sobre aquele registro de DNS.

A interface DLZ está disponível a partir das versões 9.8.0 e 9.9.0 do Bind. O Debian Squeeze vem empacotado com a versão 9.7.3 do Bind, o que torna necessário a sua atualização.

Continue lendo

Novo Malware Xnote atinge servidores GNU/Linux

Um novo trojan de múltiplos propósitos para GNU/Linux foi descoberto e analisado pelos

Linux-Rootkit-Perfect-for-Targeted-Attacks-and-Drive-by-Download-Scenarios-Found-2pesquisadores da Dr. Web. O malware, apelidado de Xnote e que teria sido desenvolvido pelo grupo ChinaZ, infecta servidores GNU/Linux, envia informações sobre o sistema para um servidor e faz a máquina alvo participar de ataques DDoS.

Mais informações podem ser encontradas no Slashdot ou no Net Security.