如何在 Linux 系統中修復 SambaCry 漏洞 (CVE-2017-7494)？

---

介紹

隨著技術的進步，網路威脅也日益增多。保護您的網路免受這些威脅從未像現在這樣重要。

其中一種威脅是 SambaCry 漏洞 (CVE-2017-7494)，如果未及時解決，它有可能危及整個網路。在本文中，我們將討論什麼是 SambaCry，為什麼修復它很重要，以及如何在您的 Linux 系統上解決此漏洞。

瞭解 Samba 和 SambaCry 漏洞

什麼是 Samba？

Samba 是一個開源軟體包，它允許 Linux/Unix 伺服器與基於 Windows 的客戶端之間進行互操作。它允許 Linux/Unix 伺服器為基於 Windows 的客戶端提供檔案和印表機共享等服務。“Samba”這個名字來源於 SMB（伺服器訊息塊），這是 Microsoft Windows 用於透過網路共享檔案、印表機和其他資源的協議。

什麼是 SambaCry 漏洞？

SambaCry 漏洞 (CVE-2017-7494) 指的是在 Samba 3.5.0 及更高版本中實現的 SMB/CIFS 網路協議中發現的安全漏洞。此漏洞允許遠端攻擊者透過網路傳送特製的包來在易受攻擊的系統上執行任意程式碼。它被稱為“SambaCry”，因為它是在 WannaCry 勒索軟體攻擊（利用了另一個 SMB 漏洞）出現的同時被發現的。

它是如何工作的？

SambaCry 漏洞透過利用 smbd 守護程式中的緩衝區溢位條件來工作，該守護程式在 TCP 埠 445 上偵聽來自使用 SMB/CIFS 協議的客戶端的傳入連線。透過傳送包含過多資料的特製資料包，攻擊者可以導致 smbd 崩潰或以 root 許可權在目標系統上執行任意程式碼。一旦進入系統，攻擊者可以執行各種惡意活動，例如下載和執行惡意軟體、竊取敏感資料或加密檔案以勒索贖金。

需要注意的是，此漏洞不僅影響執行 Samba 的 Linux 系統，還影響其他裝置，例如使用嵌入式版本的 Samba 的路由器、NAS（網路附加儲存）裝置和物聯網 (IoT) 裝置。因此，這些系統/裝置的使用者必須瞭解此漏洞的工作原理，並採取必要的預防措施來保護其系統免受攻擊。

檢查您的系統是否受到 SambaCry 漏洞的影響

使用命令列工具檢查漏洞

在繼續進行修復之前，務必確保您的系統確實容易受到 SambaCry 攻擊。Linux 系統有幾個命令列工具可用於檢查是否存在此漏洞。其中一個工具是“nmap”，它允許您掃描您的系統以查詢開放的埠和服務。

要使用 nmap 掃描您的系統，首先，請確保您的系統上已安裝 nmap，可以使用您發行版的包管理器安裝。安裝完成後，執行以下命令：

sudo nmap -p 445 --script smb-vuln-cve-2017-7494 

將 `` 替換為目標機器的 IP 地址。

輸出將顯示目標機器是否容易受到攻擊。另一個可使用的命令列工具是“smbclient”。

此工具掃描遠端主機上的特定伺服器服務，可用於檢查在 IP 地址上執行的特定版本的 Samba 伺服器服務是否包含 Sambacry 利用的漏洞。要使用 smbclient，請執行：

smbclient ///IPC$ -N 

如果響應中沒有錯誤，則表示在 Samba 中未檢測到任何漏洞。

使用漏洞掃描器檢查漏洞

除了命令列工具之外，還可以使用漏洞掃描器。此處可以使用的一個流行的掃描器是 Nessus 掃描器。

在 Nessus 安裝並配置在您的 Linux 系統或託管掃描器的虛擬機器上（可以透過 Docker 容器執行）後，新增一個新的掃描策略，並在起始頁面上從“策略模板”列表中選擇“高階掃描”。在“高階掃描”設定中，您可以選擇 SMB 漏洞模板來配置掃描。這將自動檢查指定 IP 範圍內是否存在 SambaCry 漏洞。

Nessus 掃描器的報告應顯示目標系統是否容易受到 SambaCry 攻擊。建議同時執行這兩種型別的測試（命令列和漏洞掃描器），以確保您的系統不會暴露於此漏洞。

修復漏洞

使用最新補丁更新您的系統

修復 SambaCry 漏洞的第一步之一是使用最新補丁和安全更新來更新您的 Linux 系統。為此，您可以在終端中鍵入以下命令：

sudo apt-get update && sudo apt-get upgrade

這將更新系統上的所有軟體包並應用任何可用的安全更新。請記住，此命令可能需要幾分鐘才能完成，具體取決於需要更新的軟體包數量。

還建議您定期檢查是否有新更新並在第一時間應用它們，因為新漏洞隨時可能出現。透過使您的系統保持最新安全補丁，您可以減輕潛在風險並保護您的網路免受攻擊。

將安全更新應用於您的系統

除了使用最新補丁更新您的 Linux 系統之外，定期檢查和應用任何可用的安全更新也很重要。這些更新專為幫助抵禦 SambaCry 等已知漏洞而設計。要檢查是否有可用的安全更新，請在終端中鍵入以下命令：

sudo apt-get install unattended-upgrades

此命令安裝一個工具，該工具會自動下載並在您的 Linux 系統上安裝關鍵的安全升級。這是抵禦 SambaCry 等漏洞的最簡單方法之一。

在您的系統上停用 SMBv1 協議

修復 SambaCry 漏洞的另一種方法是在您的 Linux 系統上停用 SMBv1 協議。此協議由舊版本的 Windows 作業系統（例如 Windows XP）用於透過網路連線共享檔案。要在 Ubuntu 16.04 LTS 或更高版本的 Linux 系統上停用 SMBv1 協議，請在終端中鍵入以下命令：

echo "[global] 
client min protocol = SMB2" | sudo tee -a /etc/samba/smb.conf

此命令停用 SMBv1 協議並強制系統使用 SMBv2 或更高版本。但是，請注意，這可能會導致與舊版本的 Windows 作業系統出現相容性問題。

使用最新補丁和安全更新更新您的 Linux 系統、應用任何可用的安全更新以及停用 SMBv1 協議是修復 SambaCry 漏洞的有效方法。透過採取這些步驟，您可以幫助保護您的網路免受潛在攻擊並確保您的資料安全。

結論

SambaCry 漏洞對 Linux 系統構成了嚴重威脅，需要立即解決。我們概述了確定您的系統是否容易受到攻擊以及如何修復它的必要步驟。安裝安全更新、停用 SMBv1 協議以及實施其他安全措施將有助於保護您的系統免受未來的攻擊。

我們首先解釋了什麼是 SambaCry 漏洞以及它是如何工作的。然後，我們提供了檢查您的系統是否受漏洞影響的方法。在確定您的系統容易受到攻擊後，我們提供了修復它的步驟，包括使用最新補丁更新您的系統、將安全更新應用於您的系統以及在您的系統上停用 SMBv1 協議。

需要注意的是，修復 SambaCry 漏洞不應被視為一次性任務，而應視為一個持續的過程。定期進行安全審計並及時更新安全更新將有助於防止未來的漏洞被利用。