SambaCry: Erste Angriffe auf Linux-NAS-Boxen gesichtet

19.07.2017 18:46 Uhr Fabian A. Scherschel

Die Hintertür in der SMB-Umsetzung von Linux-Systemen wird nun missbraucht, um gezielt NAS-Geräte anzugreifen. Für viele Geräte gibt es nur wenig Hoffnung, dass die Hersteller reagieren.

Die Sicherheitsfirma TrendMicro warnt davor [1], dass Angreifer momentan die SambaCry-Lücke [2] in der SMB-Implementierung von Linux-Systemen (CVE-2017-7494) missbrauchen, um NAS-Geräte anzugreifen. Die ersten Angriffe auf Linux-Rechner mittels dieser Hintertür wurden vor ungefähr einem Monat [3] bekannt, als Forscher einen Trojaner entdeckten, der Linux-Server angreift, übernimmt und sie dann zum Schürfen der Kryptowährung Monero missbraucht. Jetzt nutzen die Angreifer offenbar diesen Infektionsweg, um gezielt NAS-Geräte zu kompromittieren.

"It is quite easy to find devices that use Samba in Shodan: searching for port 445 with a ‘samba’ string will turn up a viable IP list. An attacker would then simply need to create a tool that can automatically write malicious files to every IP address on the list."

– TrendMicro-Bericht

Was genau die Angreifer mit den erbeuteten NAS-Boxen machen, sagt TrendMicro nicht – es ist aber aller Wahrscheinlichkeit nach nichts gutes. Sie könnten es vor allem auf die auf den Geräten gespeicherten Daten abgesehen haben. Diese sind ein lohnendes Ziel für Spionageangriffe oder Erpressungstrojaner.

Die Hacker scheinen immerhin keine Probleme zu haben, Ziele zu finden. "Es ist recht einfach, Geräte die Samba benutzen in Shodan zu finden. Ein Angreifer muss dann nur noch ein Tool schreiben, welches bösartige Dateien automatisch auf alle Ziel-IPs von dieser Liste schreibt", erläutern die Sicherheitsforscher. Shodan ist eine Suchmaschine, die es erlaubt, öffentlich erreichbare Endpunkte im Netz anhand bestimmter Ports oder Protokolle zu finden.

Für viele Geräte gibt es wenig Hoffnung

Zwar hat so ziemlich jede Linux-Distribution die SambaCry-Lücke mittlerweile geschlossen, da es sich bei den meisten NAS-Geräten allerdings um Embedded-Systeme handelt, sind viele von ihnen noch angreifbar. Hier zeigt sich wieder einmal das alte Problem mit dem Internet der Dinge (Internet of Things, IoT) und Herstellern, welche die Firmware auf ihren Geräten nur sehr langsam und in den meisten Fällen gar nicht aktualisieren. So wie es aussieht wird uns auch die SambaCry-Lücke noch auf Jahre Angriffe bescheren, die diese Schwachstelle missbrauchen. (fab [4])

URL dieses Artikels:
https://www.heise.de/-3777456

Links in diesem Artikel:
[1] http://blog.trendmicro.com/trendlabs-security-intelligence/linux-users-urged-update-new-threat-exploits-sambacry/
[2] https://www.heise.de/news/SambaCry-Gefaehrliche-Sicherheitsluecke-in-Samba-finden-und-patchen-3726053.html
[3] https://www.heise.de/news/Windows-Trojaner-nutzt-NSA-Hintertuer-um-verdeckt-Kryptowaehrungen-zu-schuerfen-3751247.html
[4] mailto:contact@fab.industries