نزدیک به دو ماه پیش کارشناسان امنیتی اعلام کردند یک آسیب پذیری بحرانی اجرای از راه دور کدها با قدمتی ۷ ساله را در نرم افزار شبکه سامبا کشف کردهاند. آسیب پذیری فوق به یک هکر اجازه میداد از راه دور کنترل کامل ماشین های آسیب پذیر لینوکسی را به دست آورد. این آسیب پذیری SambaCry نام گرفت، به واسطه آن که به لحاظ عملکرد به آسیب پذیری سرویس SMB ویندوز که در نهایت به خلق باج افزاری به نام واناکرای منجر شد، شباهت زیادی داشت. در شرایطی که آسیب پذیری فوق در ماه می وصله شد، اما به تازگی کارشناسان شرکت ترند میکرو اعلام کرده اند بدافزار جدیدی را شناسایی کرده اند که از طریق آسیب پذیری فوق به سراغ دستگاه های اینترنت اشیا و همچنین دستگاه های ذخیره سازی ضمیمه شده شبکه موسوم « NAS سرنام (Network Attached Storage) رفته است. سامبا یک نرم افزار متن باز است (پیاده سازی مجدد پروتکل شبکه SMB/CIFS) که در واقع یک بازسازی جدید از پروتکل SMB ویندوز به شمار می رود. نرم افزار فوق سرویس های فایل و چاپ مبتنی بر ویندوز را برای سرورهای لینوکسی و یونیکسی ارائه میکند. این نرم افزار روی طیف گسترده ای از سیستم عامل های بزرگ همچون لینوکس، یونیکس، 390 IBM System و OpenVMS در حال اجرا است.
درست به فاصله کوتاهی پس از انتشار گزارشی مربوط به آسیب پذیری سامباکرای SambaCry به شماره شناسایی 494 7-2017-CVE هکرها به سراغ بهره برداری از آسیب پذیری فوق رفتند و ناگهان حملات هکری مرتبط با این آسیب پذیری به شکلی قابل توجهی رشد پیدا کردند. هکرها به منظور نصب نرم افزار استخراج گر ارز مجازی موسوم به Cpuminer در حالی بهره برداری از آسیب پذیری فوق هستند. این نرم افزار به منظور استخراج ارز مجازی مونرو از روی سامانه های لینوکسی مورد استفاده قرار میگیرد. با این حال، شرکت ترند میکرو گزارشی کرده است که به تازگی کمپین جدیدی را در ارتباط با SambaCry شناسایی کرده است که دستگاههای NAS مورد استفاده از سوی شرکت های بزرگ و کوچک را هدف قرار داده و آنها را آلوده ساخته است. بدافزار فوق که SHELLBIND نام دارد، روی معماری های مختلفی همچون MIPS، ARM و POWerPC بدون هیچ گونه مشکل خاصی کار می کند. این بدافزار از طریق یک فایل شیر اشتراکی (Shared ObjectFile) موسوم به .SO داخل پوشه عمومی سامبا قرار گرفته است و از طریق آسیب پذیری SambaCry بارگذاری می شود.
هنگامی که بدافزار به طور کامل روی سامانه هدف استقرار پیدا کرده با سرورهای کنترل و فرماندهی که در شرق افریقا قرار دارند. ارتباط برقرار میکند. بدافزار فوق قادر است قواعد و دستورالعمل های دیوار آتش سامانه هدف را تغییر دهد تا اطمینان حاصل کند بدون هیچ مشکلی قادر خواهد بود با سرور کنترل و فرماندهی به ارتباط بپردازد. زمانی که ارتباط با سرور فوق برقرار شد، بدافزار مجوزهای لازم برای دسترسی به سامانه آلوده را در اختیار هکر قرار میدهد و یک محیط اجرای دستورات شل را در اختیار هکر قرار می دهد. هکر از طریق این محیط قادر است هرگونه دستوری که در نظر دارد اجرا کند. هکرها برای آنکه بتوانند دستگاههای آسیب پذیری که از نرمافزار سامبا استفاده میکنند را شناسایی کنند، از موتور جستوگر دستگاه های اینترنت اشیا شادون استفاده می کنند.
هکرها همچنین فایلهای اصلی مربوط به بدافزار خود را درون پوشه های عمومی سامبا می نویسند و برای پیدا کردن دستگاه های آسیب پذیر از طریق موتور جستوجوگر شادون پورت ۴۴۵ را همراه با رشته سامبا (Samba) مورد جستوجوی قرار می دهند تا با کمترین زحمت ممکن دستگاههای آسیب پذیر را شناسایی کنند. در ادامه موتور فوق فهرستی از نشانی های IP متعلق به این دستگاه ها را در اختیار هکرها قرار میدهد. پس از شناسایی دستگاه های آلوده یک هکر قادر است به راحتی ابزاری را ایجاد کند که به طور خودکار فایل های مخرب را به درون دستگاه هایی که نشانی IP آنها در این فهرست مشخص شده است وارد کند. زمانی که هکرها موفق شوند فایلهای مخرب را درون پوشه های عمومی بنویسند، در ادامه برچسب ELF_SHELLBIND.A را به دستگاه های آلوده نسبت می دهند. با وجود این، هنوز به درستی مشخص نیست هکرها روی سامانه های آلوده قادر به انجام چه کارهایی هستند و با چه انگیزهای به دنبال آلوده کردن دستگاهها می روند. کارشناسان شرکت ترندمیکرو در گزارش خود آوردهاند: «بهره برداری از آسیب پذیری سامباکرای کاملاً ساده است. به طوری که هکرها قادرند کتابخانه های مخرب را درون بخش اشتراک سامانه های آسیب پذیر بارگذاری کنند. در مرحله بعد سرور نیز کدهای مخرب را بارگذاری و آنها را اجرا میکند.» با توجه به آنکه وصله مربوط برای نسخه های ۴٫۴٫۱۴/۴٫۵٫۱۰/۴۶٫۴ این نرم افزار عرضه شده است، پیشنهاد می شود. در اولین فرصت وصله مربوط را روی سامانه خود نصب کنید تا از خطر حمله هکرها در امان باشید.
