SambaCry : de la faille Samba au minage distribué de crypto-monnaie par malware

Il y a deux semaines environ, Samba corrigeait une vulnérabilité critique, vite surnommée SambaCry. Aujourd’hui, elle fait l’objet d’une exploitation, les pirates en profitant pour installer un logiciel mineur de crypto-monnaie.

Le 24 mai, Samba colmatait une brèche critique dans son code, estampillée CVE-2017-7494. Implémentation libre du protocole SMB de Windows, le logiciel est utilisé sur de nombreux systèmes, en particulier les distributions Linux et les NAS, permettant notamment le partage de fichiers. Dans la foulée, de nouvelles moutures étaient distribuées pour s'occuper du problème.

Presque trois semaines après, toutes les machines concernées n’ont pas été mises à jour, loin de là. Des pirates sont donc passés à l’action. Exploitée, la faille permet l’installation d’un malware qui, au lieu de voler des données, installe un client de minage pour la crypto-monnaie Monero. Explications.

L’éternel problème des mises à jour

Comme n’importe quel logiciel ou système d’exploitation, Samba découvre régulièrement des failles de sécurité. L’efficacité des mises à jour qui en découlent dépend directement de leur installation. À chaque fois, il existe une proportion plus ou moins importante d’appareils non mis à jour, pour diverses raisons. Ce sont ces machines qui posent des difficultés.

Dans le cas présent, le nombre de PC sous Linux ayant Samba activé (et exposant le port 445 à Internet) était estimé à environ un demi-million. Un résultat obtenu sur le moteur de recherche Shodan par les chercheurs de Rapid7. Ce chiffre était entre autres complété par plus de 100 000 autres appareils possédant une version vulnérable de Samba, à savoir toutes les moutures depuis la 3.5.

Aujourd’hui, d’autres chercheurs tirent la sonnette d’alarme : une campagne vise clairement l’exploitation de la faille sur tous les appareils encore vulnérables. Même si la majorité des utilisateurs de Linux reçoivent automatiquement les mises à jour, il reste toujours un certain nombre d’utilisateurs ne les faisant pas, pour diverses raisons. Idem pour des produits comme les NAS, malgré la publication de correctifs, notamment chez Thecus et Synology.

Un malware mineur de moneros et un reverse-shell

Contrairement à WannaCrypt (ou WannaCry), cette campagne n’est pas basée sur un ransomware. Pas question donc de chiffrer les données et de réclamer de l’argent, ou même d’un classique vol d’informations. Ici, le but est de faire de l’argent.

Le chercheur indépendant Omri Ben Bassat‏ nomme cette campagne « EternalMiner ». Les pirates, dont l’identité n’est pas encore connue, ont récupéré le logiciel CPUminer qui sert habituellement à miner cette crypto-monnaie. L’idée est d’implanter le logiciel et de faire miner discrètement les machines pour générer des moneros (ou XMR). Les pirates obtiennent alors un réseau distribué pour miner plus rapidement, puis de convertir ensuite la monnaie en espèces sonnantes et trébuchantes.

Kaspersky s’y colle également, avec peu ou prou les mêmes observations. On trouve ainsi deux fichiers : INAebsGB.so, qui procure un reverse-shell, ainsi que cblRWuoCc.so, une porte dérobée accompagnée de la version modifiée de CPUminer.

Un reverse-shell est, comme son nom l’indique, l’inverse d’un shell. Ce dernier permet, entre autres, de connecter la machine à un serveur pour lui faire exécuter des instructions. Dans le cas d’un reverse-shell, c’est le contraire : le serveur se connecte au client pour lui faire accomplir des tâches. Ici, il est utilisé pour configurer CPUminer à distance, mais les chercheurs précisent qu’il peut tout à fait permettre l’installation de malwares supplémentaires si besoin.

Un type de campagne déjà vu

L’idée de diffuser un mineur pour créer un parc distribué de machines n’est pas nouvelle. The Hacker News rappelle notamment l’existence d’Adylkuzz, un autre malware visant Windows celui-là et exploitant… la faille EternalBlue dans SMB, celle-là même qui a permis la propagation de WannaCrypt. Cette campagne était passée relativement inaperçue, la société Proofpoint précisant que WannaCrypt avait largement drainé l’attention.

La même entreprise expliquait que le minage étant une activité particulièrement gourmande en énergie puisque s’appuyant sur les performances des CPU et GPU, l’utilisation des failles de sécurité permet de créer à faible coût des parcs de milliers de machines dévolues à cette activité. Si le malware fait « bien son travail », l’utilisateur ne se rend compte de rien, à moins que le bruit des ventilateurs ne l’alerte sur une activité intensive de son processeur (surtout sur un ordinateur portable).

Mais même si ces malwares particuliers ne dérobent pas d’informations, ils induisent une activité détournée des ordinateurs au détriment de leurs utilisateurs. En outre, puisqu’ils sont contrôlés à distance, rien n’empêche les pirates d’envoyer d’autres logiciels malveillants pour profiter un peu plus de la situation.

La seule parade réelle reste la correction en temps et en heure des vulnérabilités. La récupération et l’installation automatique des mises à jour signifie peut-être un redémarrage de la machine, mais il s’agit encore de la meilleure protection contre ce type de problème.