Campagne di attacco SambaCry/EternalRed

 

Proto: N030617.

 

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di campagne di propagazione malware basate su attacchi SambaCry/EternalRed. Le ondate di attacco sfruttano la vulnerabilità CVE-2017-7494 recentemente scoperta all’interno del servizio Samba SMB, tipicamente utilizzato all’interno di una pletora di Prodotti sia open-source che commerciali basati su Linux. Per ulteriori dettagli relativi alla criticità ed alle versioni del software affette si rimanda all’early warning N100517.

Le campagne di attacco rilevate negli ultimi giorni hanno due principali scopi:

  • L’installazione di backdoor in grado di garantire agli attaccanti accessi abusivi alle macchine vittime, ponendo a rischio i dati e le reti accessibili attraverso l’host compromesso.
  • L’esecuzione di varianti del malware EternalMiner al fine di sfruttare le risorse della macchina vittima per effettuare computazioni legate alla generazione di crypto-valute digitali, degradando così le performance dell’host.

Vari Vendor tra cui, ma non limitati a, Red Hat, SUSE LinuxCisco e Netgear hanno confermato la problematica all’interno di prodotti e soluzioni attraverso appositi bollettini di sicurezza:

  • Prodotti Cisco afflitti (cisco-sa-20170530-samba):
    • Cisco Network Analysis Module
    • Cisco MXE 3500 Series Media Experience Engines
    • Cisco Video Surveillance Media Server
    • Cisco Network Analysis Module (in attesa di conferma)
  • Prodotti Netgear afflitti:
    • Firmware ReadyNAS (utilizzato in sistemi NAS netgear)
  • Prodotti SUSE Linux afflitti:
    • SUSE Linux Enterprise Server 12 Service Pack 2 (SLES 12 SP2)
    • SUSE Linux Enterprise Server 12 Service Pack 1 (SLES 12 SP1)
    • SUSE Linux Enterprise Server 12 LTSS
    • SUSE Linux Enterprise Server 11 Service Pack 4 (SLES 11 SP4)
    • SUSE Linux Enterprise Server 11 Service Pack 3 (SLES 11 SP3) LTSS
    • SUSE Linux Enterprise Server 11 Service Pack 2 (SLES 11 SP2) LTSS
  • Prodotti Red Hat afflitti (RHSA-2017:1390):
    • Red Hat Enterprise Linux Server – Extended Update Support 7.2 x86_64
    • Red Hat Enterprise Linux Server – Extended Update Support 6.7 x86_64
    • Red Hat Enterprise Linux Server – Extended Update Support 6.7 i386
    • Red Hat Enterprise Linux Resilient Storage (for RHEL Server) – Extended Update Support 7.2 x86_64
    • Red Hat Enterprise Linux EUS Compute Node 7.2 x86_64
    • Red Hat Enterprise Linux EUS Compute Node 6.7 x86_64
    • Red Hat Enterprise Linux Server – AUS 7.2 x86_64
    • Red Hat Enterprise Linux Server – AUS 6.6 x86_64
    • Red Hat Enterprise Linux Server – AUS 6.5 x86_64
    • Red Hat Enterprise Linux Server – AUS 6.4 x86_64
    • Red Hat Enterprise Linux Server – AUS 6.2 x86_64
    • Red Hat Enterprise Linux for IBM z Systems – Extended Update Support 7.2 s390x
    • Red Hat Enterprise Linux for IBM z Systems – Extended Update Support 6.7 s390x
    • Red Hat Enterprise Linux for Power, big endian – Extended Update Support 7.2 ppc64
    • Red Hat Enterprise Linux for Power, big endian – Extended Update Support 6.7 ppc64
    • Red Hat Enterprise Linux for Power, little endian – Extended Update Support 7.2 ppc64le
    • Red Hat Enterprise Linux Server – TUS 7.2 x86_64
    • Red Hat Enterprise Linux Server – TUS 6.6 x86_64
    • Red Hat Enterprise Linux Server – TUS 6.5 x86_64

Yoroi consiglia caldamente di verificare lo stato di aggiornamento dei Prodotti software indicati, in quanto potenziali vittime di campagne di attacco in corso. Yoroi suggerisce inoltre di verificare l’esposizione internet di eventuali servizi SMB presenti all’interno del Vostro perimetro, di monitorare ed applicare gli aggiornamenti di sicurezza ai sistemi Linux in uso presso le Vostre organizzazioni.

Yoroi consiglia inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index