Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Aktuelles rund um das Thema IT-Sicherheit
Antworten
Benutzeravatar
Elch
Beiträge: 214
Registriert: Mi 15. Mär 2017, 00:37
Betriebssystem: Windows
Virenscanner: MSE
Hat sich bedankt: 0
Danksagung erhalten: 0

Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Beitrag von Elch » Do 25. Mai 2017, 14:06

Das Samba Projekt gibt eine Meldung über die Entdeckung einer Sicherheitslücke bekannt:
https://www.samba.org/samba/security/CVE-2017-7494.html" onclick="window.open(this.href);return false;

Das Samba Projekt macht die freie Implementierung des SMB Protokolls, welches von Windows für Filesharing benutzt wird. So können Linux und andere unixoide Systeme Filesharingdienste für Windows anbieten. Linux Distributionen wie Debian, SUSE, Ubuntu, Mint, usw, werden die Patches sicherlich zeitnah zur Verfügung stellen und die Werkzeuge für die Aktualisierungen helfen den Nutzern diese dann schnell und leicht zu installieren.

Aber was heutezutage wohl üblich ist: es gibt viele Plastikrouter und Fertig-NAS (Network Attached Storage) in den Haushalten, welche von den Herstellern gerne mal nicht, oder nur zögerlich mit Sicherheitspatches versorgt werden. Auch lässt sich in solche Geräten nicht unbedingt leicht der empfohlene Workaround als Parameter setzen:

Code: Alles auswählen

nt pipe support = no
Ich schätze mal, dass es besser ist, da mal ein waches Auge auf derartige Geräte zu werfen. Filesharing per SMB vorläufig lieber abschalten, als unnötig Angriffsfläche zur Verfügung stellen. Besonders abzuraten dürfte dann wohl sein, etwa ein vom Internet aus erreichbares NAS oder einen Plastikrouter mit ähnlicher Funktion zu betreiben.

Wikipedia Artikel zu NAS: https://de.wikipedia.org/wiki/Network_Attached_Storage.
Wikipedia Artikel zu SMB: https://de.wikipedia.org/wiki/Server_Message_Block.

IndyBaskets
Beiträge: 897
Registriert: Mo 23. Mär 2015, 09:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Beitrag von IndyBaskets » Fr 26. Mai 2017, 07:44

war ja eigentlich nur ne Frage der Zeit nach der wannacry Lücke ;)

Frage wäre aber. Sind Fritzboxen davon auch betroffen? Hab im Heise Forum gelesen, dass die Samba nicht verwenden, allerdings bieten die ja ein NAS an und diese werden per smb verbunden, wenn ich mich nicht irre.

Bei meiner Fritzbox sind allerdings sämtliche Zugriffe aus dem Internet und das NAS aus. Reicht das?

Benutzeravatar
Elch
Beiträge: 214
Registriert: Mi 15. Mär 2017, 00:37
Betriebssystem: Windows
Virenscanner: MSE
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Beitrag von Elch » Fr 26. Mai 2017, 16:07

Bei den Fritzboxen, die Filesharing per SMB Protokoll anbieten, wird selbstverständlich auch Samba benutzt. Schließlich baut AVM auf Linux und BusyBox auf, so wie viele andere Plastikrouter auch. Nur ziert sich AVM und es brauchte erst mal einen Gang vor Gericht um OpenSource wieder frei zu bekommen.
Das Fritzbox Modell 7490 ist dort noch nicht aufgelistet, aber die kann ja auch Filesharing via SMB Protokoll:
http://www.wehavemorefun.de/fritzbox/CONFIG_SAMBA" onclick="window.open(this.href);return false;

Info von AVM zu SMB mit der Fritzbox 7490:
https://avm.de/service/fritzbox/fritzbo ... inrichten/" onclick="window.open(this.href);return false;

In diese smb.conf müsste wohl die Umgebungsvariable als Workaround gesetzt werden, um ohne Aktualsierung von Samba diese Sicherheitslücke vorläufig zu schließen:
http://www.wehavemorefun.de/fritzbox/Smb.conf" onclick="window.open(this.href);return false;
Da aber AVM den Zugang für die Nutzer erschwert hat (wobei ich telnet ohnehin für nicht mehr Zeitgemäß halte) aber auch kein sicheres SSH als Ersatz anbietet, wird es wohl nur einen kleinen Nutzerkreis geben, der es schafft die Umgebungsvariable:

Code: Alles auswählen

nt pipe support = no
dort in die smb.conf zu setzen.

Wenn das Filesharing ganz abgeschaltet ist, dann kann natürlich auch nichts über das SMB Protokoll passieren.

IndyBaskets
Beiträge: 897
Registriert: Mo 23. Mär 2015, 09:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Beitrag von IndyBaskets » Fr 26. Mai 2017, 16:11

hallo elch,

vielen Dank erstmal.

Wenn ich NAS nicht aktiv habe, dürfte es aber eh kein Angriffziel geben, oder?

Zudem hier etwas zur 7490 https://www.heise.de/forum/heise-Securi ... 8812/show/" onclick="window.open(this.href);return false;

Hab zwar eine andere, aber gleiche Version mit 6.83. Scheint also nicht zwingend angreifbar zu sein.

Benutzeravatar
Elch
Beiträge: 214
Registriert: Mi 15. Mär 2017, 00:37
Betriebssystem: Windows
Virenscanner: MSE
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Beitrag von Elch » Fr 26. Mai 2017, 16:25

Ich mache überhaupt kein SMB. Auch nicht mit Windows. Deswegen ist alles an SMB Serverdiensten abgeschaltet und der Windows Client SMB Dienst darf auch nicht. Trotzdem halte ich Software immer aktuell sobald es die Möglichkeit dafür gibt. Schließlich könnte ich mich ja auch eines Tages mal anders entscheiden und dann möchte ich nicht in irgendeine in Vergessenheit geratene Sicherheitslücke hinein tappen.

IndyBaskets
Beiträge: 897
Registriert: Mo 23. Mär 2015, 09:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Beitrag von IndyBaskets » Fr 26. Mai 2017, 16:31

das steht natürlich außer Frage. Gerade bei der Fritzbox bin ich immer aktuell. Viel zu gefährlich sonst.

das blöde ist halt, dass man manchmal auf die Geschwindigkeit der Hersteller angewiesen ist ;)

Benutzeravatar
Elch
Beiträge: 214
Registriert: Mi 15. Mär 2017, 00:37
Betriebssystem: Windows
Virenscanner: MSE
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Beitrag von Elch » Fr 26. Mai 2017, 16:41

Vielleicht sollte heise.de mal angespitzt werden, dann bei AVM nachzufragen. heise.de liebt doch Fritzbox Artikel zu schreiben. Natürlich könnten sie auch mal bei anderen Anbietern wie Asus, D-Link, Netgear und NAS Anbietern nachfragen - und auch die Provider mit ihren eigenen Kästchen nicht vergessen (Arcadyan, auch mal Homebox oder so ähnlich benannt). Ich sehe es schon kommen, da hätte heise wieder Stoff für eine ganze Serie an Artikeln über die kleinen Helferlein-Kästchen in modernen Haushalten. :D

IndyBaskets
Beiträge: 897
Registriert: Mo 23. Mär 2015, 09:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Beitrag von IndyBaskets » Di 30. Mai 2017, 07:48

hier nochmal die offizielle Bestätigung, dass die Fritzbox nicht betroffen ist:

https://avm.de/service/aktuelle-sicherheitshinweise/" onclick="window.open(this.href);return false;

Benutzeravatar
Elch
Beiträge: 214
Registriert: Mi 15. Mär 2017, 00:37
Betriebssystem: Windows
Virenscanner: MSE
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Beitrag von Elch » Di 30. Mai 2017, 22:31

Ich hoffe mal, das stimmt, was AVM da kommunizieren will, schließlich kann es schnell teuer werden, wenn so eine Fritzbox gekapert wird, wegen dem VoIP.
Schaut man nämlich mal nach, was bei der Samba Version 3.0.37 so alles war, welche der heise Forist mit nmap gesehen hat:
https://www.cvedetails.com/vulnerabilit ... .0.37.html.
Dann ist das eine Samba Version, die man vernünftigerweise eigentlich nicht mehr nutzen sollte, zudem bekommt diese alte Samba Version keine Aktualisierungen mehr vom Samba Projekt.
Unterstützte Samba Versionen werden dort in der Tabelle angezeigt und farblich hervorgehoben:
https://wiki.samba.org/index.php/Samba_ ... nformation.

NoG
Moderator
Beiträge: 7153
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg
Hat sich bedankt: 0
Danksagung erhalten: 1 Mal

Re: Samba Sicherheitslücke - Gefahr für Plastikrouter + NAS?

Beitrag von NoG » So 18. Jun 2017, 00:44

Hierzu ergaenzend die Info, dass NAS von QNAP auch bei manuell angestossener Suche nach Firmware-Updates das entsprechende Update nicht finden. Dieses muss manuell heruntergeladen und eingespielt werden!
We have bugs the likes of which even God has never seen!

Antworten