×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

NCSC waarschuwt voor komst exploit ernstig Samba-lek

Door , 124 reacties

Het Nationaal Cyber Security Centrum verwacht dat er spoedig een exploit verschijnt voor een recent gedicht lek in Samba omdat er proof-of-concept-code beschikbaar is. Meer dan 100.000 online systemen zouden kwetsbaar zijn.

SambaHet NCSC heeft de waarschuwing voor het Samba-lek opgeschaald naar 'ernstig' vanwege de verwachting dat er exploits verschijnen. Deze week werd bekend dat Samba een lek bevat waardoor een kwaadwillende met authenticatie op afstand een shared-library kan uploaden naar een gemeenschappelijke map, deze door de server kan laten uitvoeren en zo willekeurige code kan uitvoeren met root-rechten.

Het lek treft alle versies van Samba vanaf 3.5.0. De ontwikkelaars hebben een patch uitgebracht voor Samba 4.6.4, 4.5.10 en 4.4.14 en voor de oudere versies is een workaround. De NCSC zet op een rij dat er ook patches zijn voor onder andere Red Hat, FreeBSD, Suse en Ubuntu.

Beveiligingsbedrijf Rapid7 waarschuwt dat veel gebruikers van bijvoorbeeld netwerkopslag Samba draaien zonder het waarschijnlijk te beseffen. Het bedrijf constateert na een scan dat 104.000 op internet aangesloten systemen kwetsbaar zijn, waarvan bijna 90 procent een Samba-versie draait waarvoor de directe patch niet beschikbaar is.

Door Olaf van Miltenburg

Nieuwscoördinator

25-05-2017 • 11:26

124 Linkedin Google+

Reacties (124)

Wijzig sortering
Synology heeft vandaag al een patch uitgebracht voor DSM.
Fixed a security vulnerability regarding samba service (CVE-2017-7494)
Is de patch terug getrokken? Mijn Syno's laten geen update zien en Handmatig DSM bijwerken geeft "De DSM versie kan niet worden gedowngraded. De toegepaste DSM moet recenter zijn dan de huidige versie.". Huidige vesie is DSM 6.1.1-15101 Update 3 op DS115j, DS214se & DS216play. Terwijl de release notes er wel staan :? .

[Reactie gewijzigd door MrBreaker op 25 mei 2017 18:21]

Met de bestanden hier lukt het wel
Thanx! Met andere woorden de release notes hadden ook van de 24ste moeten zijn... Daarom daar niet gekeken :'( .
Synology Version: 6.1.1-15101-4

(2017/05/25)
Important Note
The update is expected to be available for all regions within the next few days, although the time of release in each region may vary slightly.
Fixed Issues
Fixed a security vulnerability regarding samba service (CVE-2017-7494).
Wordt deze automatische binnengeladen?
Hangt van je instellingen af, standaard wel ja. Maar ik laat ze alleen nieuwe versies downloaden en beslis dan zelf wanneer ik intalleer omdat het meestal ook een reboot betekend.
Terwijl Synology al wel op 4.4.9 zit (op DSM 6.1.1-15101 Update 2, 6.1.1-15101-4 is nog niet uit voor mijn DS213j):
sudo smbstatus -V
Version 4.4.9
Synology Build 15101, Apr 20 2017 04:16:12
Netgear voor OS6 inmiddels ook in firmware 6.7.3:
ReadyNAS OS V6.7.3 Release Notes.


For instructions on updating your firmware, see the ReadyNAS OS 6: Updating Firmware article.

The following are some items to look forward to in 6.7.3:

Bug Fixes:

Fixed an issue where heavy I/O could result in a hang, possibly referencing "bfq_lookup_next_entity" on the LCD.
Present missing volumes in the GUI, so the records can be deleted. This can help restore app and home directory functionality if the removed volume previously held apps.
Fixed an issue where the volume may fail to mount, if a file or directory with a matching name exists on the root filesystem.
Backport various upstream file system fixes.
Add Bonjour discovery protocol support, which is required for TiVo Bolt.
Incorporated several security updates for various OS packages.
Fixed CVE-2017-7494 (Remote code execution from a writable share)
Added Subject Alternative Name to new SSL certificates
Fixed formatting of external disks larger than 2TB

Warnings:

Devices updated with 6.7.1 firmware should not be downgraded to earlier firmware versions.
ReadyNAS 102, 104, and 2120 must not be updated directly to 6.7.x from 6.3.x or older firmware. They must first be updated to either 6.2.5 or 6.3.5 then to 6.5.2 and then onto 6.7.x.
ReadyNAS 202, 204, 212 and 212 must not be updated directly to 6.7.x from 6.3.x. They must first be updated to 6.3.5 then 6.5.2 and then onto 6.7.x.

Download Link:

arm (RN102 / RN104 / RN202 / RN204 / RN212 / RN214 / RN2120)
x86_64 (RN312 / RN314 / RN316 / RN422 / RN424 / RN516 / RN524X / RN526X / RN528X / RN626X / RN628X / RN716X / RN3130 / RN3138 / RN3220 / RN4220 / RR3312 / RR4312X / RR4312S / RR4360X / RR4360S)


Last Updated:05/24/2017 | Article ID: 000038777
Helaas maar heb nog een NAS (uit staan) met DSM 4, die kan niet naar 6.1....
"De ontwikkelaars hebben een patch uitgebracht voor Samba 4.6.4, 4.5.10 en 4.4.14 ".
Nee, die versies bevatten de patch al, zie bijvoorbeeld https://www.samba.org/samba/history/samba-4.6.4.html
Ik heb thuis een NAS staan met guest account, via mijn thuisnetwerk verbonden met internet en apparaten binnen netwerk. Directe toegang van buitenaf is niet ingesteld, maar ik heb wel een Raspberry Pi aan staan die over poort 443 toegang verleent tot SSH op de RPi zelf.

De NAS draait Samba version 3.5.16 op MontaVista (2.6.35.13-cavm1.whitney-econa.whitney-econa GNU/Linux). Ik heb root access, maar ben alleen Debian gewend. Net suf gezocht op hoe naar samba 4.6.4 kan komen. Is het nodig dat ik deze upgrade doe en zo ja, hoe kan ik dit uitvoeren?
Ik heb net een update gedaan en kreeg toen SMB 2:4.2.14.... en die is nog niet gepatched, dus je zal wel iets moeten doen vooralsnog, zie het volgende artikel:
https://thehackernews.com/2017/05/samba-rce-exploit.html

relevante quote:

But if you can not upgrade to the latest versions of Samba immediately, you can work around the vulnerability by adding the following line to your Samba configuration file smb.conf:

nt pipe support = no

Once added, restart the network's SMB daemon (smbd) and you are done. This change will prevent clients from fully accessing some network machines, as well as disable some expected functions for connected Windows systems.

[Reactie gewijzigd door dMaestr055 op 25 mei 2017 22:07]

Thanks! Dan ga ik dat toevoegen
np, op den duur zal de nieuwe versie in je update zitten, maar voor de tussentijd is dit hopelijk voldoende.
Wat een gedoe allemaal ...

Ik heb een tweetal DNS325 NASsen staan die via SMB verbinding maken met mijn netwerk. Vanwege het Wannacry-debacle had ik uit voorzorg de optie 'Ondersteuning voor SMB 1.0/CIFS voor het delen van bestanden' verwijderd uit Windows 10 (via 'Windows onderdelen in- of uitschakelen'). Dit had direct als gevolg dat mijn NASsen niet meer benaderbaar waren.

De oplossing bleek eigenlijk vrij simpel; laat de optie 'Ondersteuning voor SMB 1.0/CIFS voor het delen van bestanden' gewoon aangevinkt en schakel enkel de ondersteuning voor SMB v1 uit via de Windows Power Shell (uitvoeren als administrator) met het commando :

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Controleer de status vervolgens met :

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Als het goed is staat er nu :

EnableSMB1Protocol
----------------------------------
False

EnableSMB2Protocol
----------------------------------
True

Maar goed; nu is er dus weer een veiligheidsprobleem met Samba. Het lastige is dat mijn DNS-325 Samba versie 3.6.25 gebruikt. Ik heb 'workaround' moeten gebruiken door de regel :

nt pipe support = no

toe te voegen aan het bestand '/etc/samba/smb.conf', onder het kopje [ global ] en om de service 'smbd' daarna opnieuw te starten via de SWAT-configuratiepagina op de NAS.

Het liefste had ik ook een nieuwere Samba versie gehad, maar aangezien het een minimale Linux-distro is die op de NAS draait zijn er geen programma's aanwezig om de boel te compileren. Wellicht dat een van jullie hier meer ervaring mee heeft.
E ven wat werk maar je kunt een reguliere Linux installatie doen zoals hier. Dat heb ik een paar jaar geleden met een Thecus NAS gedaan. De pluspunten: Je bent zelf baas over de software en - in mijn geval - is mijn Linux kennis enorm toegenomen. Na enige wikken en wegen is toen Debian mijn nieuwe vriend geworden en dat bevalt tot op de dag van vandaag prima. Tuurlijk, het is wat zoeken in het begin, maar de voldoening als alles draait zoals jij het wilt, die is immens.

Vroeger moest je een echt whizzkid zijn, maar vandaag de dag met het internet als hulpbron is er eigenlijk niets wat je niet kunt oplossen. Een aanrader wat mij betreft. En er is eigenlijk voor elke denkbare NAS wel een enthousiasteling te vinden die er de één of andere Linux op geïnstalleerd heeft EN dat gedeeld heeft met foto's en al.
Klinkt inderdaad als een ernstig lek maar wie heeft er nu Samba aan het internet hangen? Daar heb je toch webdav en vergelijkbare protocollen voor. Samba (en Windows netwerkschijven) zijn per definitie niet goed te beveiligen en in de regel ook niet ge-encrypted en daarmee ongeschikt voor het internet.
Het hoeft toch niet aan het internet te hangen? We hebben met WannaCry gezien dat SMB open staan naar het LAN al voldoende is om flinke schade te berokkenen. De meeste thuisgebruikers hebben helemaal geen beveiliging op hun LAN en hebben alleen van buiten per ongeluk een beetje dekking van NAT.

Er hoeft maar één besmet apparaat binnen zo'n LAN te zijn (dubieus email attachment, trojan, bezoeker met een geïnfecteerde telefoon/laptop) en een aanvaller heeft vrij spel. Bovendien staat NAT standaard wagenweid open naar buiten toe en kan een payload zich dus ongehinderd verder verspreiden naar andere gebruikers.

[Reactie gewijzigd door Maurits van Baerle op 25 mei 2017 11:57]

Daarom heb ik thuis in mijn netwerk 2 wifi accounts. 1 met toegang tot het gehele binnen netwerk en 1 account die alleen verbonden is met het internet.
maar wie heeft er nu Samba aan het internet hangen?
Mensen die het niet weten en het daarom dan ook niet patchen?
Zowat alle thuisgebruikers die het rechtstreeks aan het net hebben hangen moeten zich daar bewust van zijn. Er zijn niet veel ISPs die je toestaan om al je apparatuur rechtstreeks aan het internet te hangen wegens de schaarste aan IPv4 adressen. Apparaten zitten daarom vaak achter NAT waarbij je zelf, bewust port forwarding moet instellen. Heb je IPv6 dan is de kans groot dat je apparaat wel een op internet routeerbaar adres heeft gekregen maar zowat alle modems gaan standaard een firewall opzetten die voorkomt dat apparaten van buitenaf benaderd kunnen worden.
Mensen die 'hier' om advies komen vragen doen het op poortbasis inderdaad.

Maar als je dezelfde vraag weglegt op bv. minecraft of motorforum - icthoekje, dan zal een veelgehoord antwoord zijn "vast ipadres voor nas - DMZ in router"
Tante Truus op de hoek heeft dat.
Moet dan een hippe tante zijn. Met zo'n NAS/server in huis.
waardoor een kwaadwillende met authenticatie
Gelukkig heeft de kwaadwillende eerst authenticatie nodig voordat hij dit lek kan gebruiken. Voor servers die 'per ongeluk' samba aan hebben staan over het internet zal dit dus niet zo'n groot probleem worden, denk ik zo.

Ik denk aan grote bedrijven die veel credentials hebben uitgedeeld, dat deze nu zo snel mogelijk moten updaten

[Reactie gewijzigd door Oerdond3r op 25 mei 2017 11:48]

Denk eens aan NAS apparaten e.d. met een guest account ingeschakeld of met default credentials. Het zal je verbazen hoeveel van die apparaten rechtstreeks aan het internet hangen zonder firewall.
Denk eens aan NAS apparaten e.d. met een guest account ingeschakeld of met default credentials.
Guest is meestal out-of-the-box readonly. Default credentials is wat dat betreft wss. een gevaarlijker probleem.
Hoe zit het als er geen authenticatie nodig is?

port:445 + Authentication: disabled -- 595,134 hits op shodan.

[Reactie gewijzigd door Woesjah op 25 mei 2017 11:50]

Je telt nu ook alle Windows machines mee.

Dit gaat expliciet over non-Windows machines.
(Misschien dat je Samba op een Windows machine werkend krijgt, maar dat zal echt een hele uitzonderlijke situatie zijn)

Hun 104.000 machines is volgens mij dus een betere benadering.
(Valt me eigenlijk wel mee qua aantal, blijkbaar hangen de meeste SMB servers niet direct aan het internet)
Ubuntu on Windows 10 dan? ;)
(Valt me eigenlijk wel mee qua aantal, blijkbaar hangen de meeste SMB servers niet direct aan het internet)
Denk dat je daar een recente ransomware worm voor kan bedanken.
Ok. Mooi dat zoiets nu al wordt gemeld. Zou dit bericht nog kunnen worden aangevuld met een aantal voorbeelden van devices zodat het iets tastbaarder wordt? Waar hebben we het over? File sharing? Plex servers? Synologies? Mobiele telefoons die standaard iets delen?
Samba is een SMB-protocol,

"Het lek treft alle versies van Samba vanaf 3.5.0. De ontwikkelaars hebben een patch uitgebracht voor Samba 4.6.4, 4.5.10 en 4.4.14 en voor de oudere versies is een workaround"

Er staat dus exact vermeld waar je op moet letten.
Je leest mijn vraag niet. Ik vraag om concrete voorbeelden. Misschien weet jij het wel uit je hoofd, maar Tante Truus op de hoek heeft echt geen clue wat Samba is en in welke end-user devices of services dit zit.
Tante Truus kijkt niet op Tweakers.
Het is niet zo makkelijk om een accurate omschrijving te maken in 1 zin. Ieder apparaat wat een 'internet' (beter gezegd: netwerk) verbinding heeft kan een Samba server draaiend hebben. Een apparaat zonder netwerkverbindingsmogelijkheden heeft zeer waarschijnlijk geen Samba draaien en anders moet je nog een hack bedenken om daar bij te komen. Een poging tot veelgebruikte consumenten apparaten: NASsen, bewakingscamera's, set top box/PVR/harddisk recorders/digitale tv ontvangers/audio receivers/video spelers zoals Rpi+kodi, medische apparatuur, printers/scanners, iemand nog een idee?

Maar stel je tante weet precies welke apparaten Samba draaien, en dan? Er zijn waarschijnlijk toch geen updates voor die bewakingscamera van 4 jaar geleden.. Enige manier om er iets, een kleine iets, aan te doen is op dit moment om te zorgen dat je router dusdanig staat ingesteld dat computers van buiten jou thuis netwerk geen verbinding kunnen maken met computers binnen jou netwerk. AKA: de poorten dichtzetten. Beter nog: alles dicht zetten en alleen open zetten wat je nodig hebt.

Overigens:
Samba is een SMB-protocol,
Nee, het is een implementatie van het SMB protocol.
"AKA: de poorten dichtzetten. Beter nog: alles dicht zetten en alleen open zetten wat je nodig hebt."

Volgens mij komen standaard modem/router boxen vanuit een willekeurige ISP automatisch ingesteld met alle poorten dicht (?) dus zou een willekeurige 'tante truus' hier sowieso geen last van moeten hebben.
Weten jullie ook om welke poorten dit gaat? Ik heb een nogal oude nas staan voor back-ups...
Niet perse nodig. Poorten open zetten in de firewall van je router is enkel noodzakelijk als je je NAS (of PC of andere apparaten op je thuisnetwerk) vanaf buitenaf wilt kunnen benaderen. Om verbinding met je NAS te kunnen maken vanaf een PC die op hetzelfde interne thuisnetwerk zit hoef je niet aan de portforwarding van je router te zitten.

tl;dr: Als jij geen poort geopend hebt op de configuratiepagina van je router is hij niet van buitenaf benaderbaar
tl;dr: Als jij geen poort geopend hebt op de configuratiepagina van je router is hij niet van buitenaf benaderbaar
Nee, dat mag je niet zomaar zeggen! Als je ergens in je router config hebt aangezet dat ie vanaf het Internet bereikbaar moet zijn, dan kan je NAS ook zelf tegen je router praten en porten laten forwarden. (Tenzij in je router UPnP ("universal plug and plug") uit staat, maar in mijn ervaring staat dat default meestal aan.)
Goed punt, UPnP staat vaak standaard aan ja bij die standaard ISP routers
Ik heb wel een aantal specifieke poorten handmatig geforward. Ondermeer voor rsync met ssh, maar dat lijken me andere poorten.
Volgens mij komen standaard modem/router boxen vanuit een willekeurige ISP automatisch ingesteld met alle poorten dicht (?)
Mijn ervaring is dat dat inderdaad zo is. Maar dan komt handige Harry langs om een backup te maken, krijgt zijn FTP servertje niet werken en gooit alles open naar de NAS ipv alleen FTP.
Ja veel mensen krijgen iets niet werkend en lezen dan .... DMZ! Ideaal natuurlijk als je weet wat je doet maar tante Truus of ome henk hebben dat echt allemaal niet in de gaten ;)
Maar stel je tante weet precies welke apparaten Samba draaien, en dan? Er zijn waarschijnlijk toch geen updates voor die bewakingscamera van 4 jaar geleden.. Enige manier om er iets, een kleine iets, aan te doen is op dit moment om te zorgen dat je router dusdanig staat ingesteld dat computers van buiten jou thuis netwerk geen verbinding kunnen maken met computers binnen jou netwerk. AKA: de poorten dichtzetten. Beter nog: alles dicht zetten en alleen open zetten wat je nodig hebt.
Ik denk dat maar weinig camera's een samba server hebben draaien. Eerder zal er een samba client in zitten.
Voor tante Truus zal het voornamelijk gaan om een NAS, of een externe schijf aan een router, die bereikbaar is als een windows share.
Tante Truus leest geen Tweakers.
Ik voel me hier een aardige tante Truus...
sinds een paar jaar wel, merk je dat niet aan de kwaliteit van de reacties?
Ik denk dat je dit ook niet simpel kan uitleggen aan Tante Truus en verwacht ook niet dat ze een beheerder is van dit soort technieken.
Ik denk dat je dit ook niet simpel kan uitleggen aan Tante Truus en verwacht ook niet dat ze een beheerder is van dit soort technieken.
Niet?
En mijn tante Corrie is 66, die heeft een Synology in de meterkast staan, omdat ze geen PC's meer hebben.
Al hun foto's, vakantiefilmpjes maar ook recepten en films staan op dat apparaat.

Is ze geen beheerder dan ?
Wie dan wel ?
Nee dat vind ik een gebruiker, beheerder heeft kennis van zaken die hoef je ook niet uit te leggen wat SMB/Samba (beheren van een systeem vereist meer kennis dan slechts wat fotos/videos te bewaren op een netwerkschijf).

[Reactie gewijzigd door BoringDay op 25 mei 2017 16:34]

Je slaat het belangrijkste deel van zijn post over:
Is ze geen beheerder dan ?
Wie dan wel ?
Met jouw benadering heeft dat apparaat helemaal geen beheerder. En dat is nou juist de reden waarom dit *) zo'n groot probleem is. We kunnen de definitie van "beheerder" nog wel oprekken en een eventuele (out-of-the-box enabled!) auto update meerekenen. Maar ook dat helpt alleen totdat de leverancier stopt met updaten, waarna de gebruiker geen flauw idee heeft dat er iets moet gebeuren.

*) "dit" == "goedkope rotzooi die rechtstreeks aan het Internet hangt zonder dat iemand ooit over beveiliging heeft nagedacht". Ik heb geen ervaring met Synology, dus ik weet niet of dat specifieke apparaat hieronder valt; ik bedoel het meer in het algemeen, met betrekking op een groot deel van die 104.000 apparaten die Rapid7 gevonden heeft.
Dat er een beheerder account erop zit betekent niet dat de gebruiker de benodigde kennis in huis heeft.

Kortom men dient zelf die kennis in huis te halen (internet, support pagina, handleiding, boek .... )

[Reactie gewijzigd door BoringDay op 25 mei 2017 20:49]

Dat er een beheerder account erop zit betekent niet dat de gebruiker de benodigde kennis in huis heeft.
Ik heb het helemaal niet over het wel of niet bestaan van een beheerdersaccount...!?
Kortom men dient zelf die kennis in huis te halen (internet, support pagina, handleiding, boek .... )
Ja, leuk plan, maar dat is in de verste verte geen realistische oplossing. Mensen willen een apparaat kunnen kopen, daar hooguit twee stekkers in steken en dan hoort ie het gewoon te doen. Als dat niet kan, dan hebben wij als programmeurs gefaald; dat kunnen we niet afschuiven op de klant die geen zin heeft om jarenlang te blokken op informatica omdat wij vinden dat iedereen ons vakgebied maar moet beheersen.
Auto's zijn niet bepaald apparaten waarvan je de eerste de beste voor honderd euro uit het rek trekt omdat ze toch allemaal hetzelfde zijn; dat is niet het soort apparaat waar ik het over had. Het gaat mij om broodroosters, electrische tandborstels, wekkers, gewone ("niet-smart") horloges, scheerapparaten, dat soort spul.
Als ik een nieuw scheerapparaat koop, dan moet ik die veilig kunnen gebruiken. Als mijn gezicht meteen een gatenkaas is waar een hele EHBO-kist op geplakt moet worden, mag de fabrikant dan zeggen "de handleiding (formaat encyclopedie) staat gewoon online; de optie om jezelf niet compleet te fileren zit slechts drie niveaus diep weggestopt in onleesbare menu's"? Mijns inziens niet. Behalve bij electronica, daar verwachten we om de één of andere reden niet anders...!?
Lijkt me dat er genoeg mensen zijn de via via hebben gehoord dat een nas praktisch is en deze aan hebben geschaft op aanraden van een kennis of omdat hij in de aanbieding was bij de lidl :) Hoef je (bijv bij synology) echt niet te weten wat samba is of cifs, filesharing wordt out of the box of wizardgewijs ingeschakeld. Zo ook kant en klare mediacentertjes volgens mij.

Op zich is het geen verkeerde vraag denk ik, even een headsup welke veelgebruikte devices vaak samba geimplementeerd hebben. Tweakers4tweakers zeg maar :)

-edit- spelfoutjes...

[Reactie gewijzigd door P-e-t-j-e op 25 mei 2017 22:09]

Hey Truus, hoe gaat het? Alles goed? Hey kijk je af en toe wel eens naar de adresbalk van websites op het internet? Weet je wat die 'http(s)' is waarmee bijna elk adres begint? Dat noemen ze een protocol, en met dit Hyper Text Transfer Protocol (Secure) praten computers met elkaar over het internet!

Goed, net zoals je dus http(s) als protocol hebt voor websites op het internet, heb je ook protocols waarmee computers (onder andere) onderling bestanden kunnen uitwisselen. Misschien ben je wel eens ftp tegengekomen, maar SMB is hier ook een voorbeeld van.

Samba is een implementatie van het SMB protocol en wordt vaak gebruikt in NAS-omgevingen voor het beschikbaar stellen van de schijven in de NAS aan andere computers op je netwerk. En dit is waar het lek in is gevonden, dus hou je je NAS een beetje in de gaten Truus? Niet vergeten te updaten he?
Als je een Synology hebt kun je samba aan of uit zetten, verder weet ik het niet uit m´n hoofd maar volgens mij staat het standaard uit.

EDIT: Het staat standaard aan maar er is volgens WoBoW vandaag een patch uitgebracht die het probleem op zou moeten lossen.

[Reactie gewijzigd door VDB Tech op 25 mei 2017 12:12]

Lekker handig voor je Windows computers, Samba op je NAS uitzetten. Gelukkig heeft bijna niemand een computer die op Windows draait.. :+
Linux en Unix based devices die gebruik maken van deze Samba versies....
Natuurlijk is dit in een protocol en niet perse het systeem zelf maar... "Op Linux zal dat nooit gebeuren!" een tijdje geleden. En zie.

Ik weet best iets van zowel Windows als Linux af en deze protocollen. Maar toen Windows zo hard getroffen werd kon ik me alleen maar afvragen wanneer Linux aan de beurt zou zijn. Want ik kan mij niet voorstellen dat de NSA daar niks voor had gezien alles wat Linux based is. Al is het natuurlijk niet bekend of dit ook uit het NSA tool pakket komt. Ik kan me gewoon niet indenken dat ze enkel op windows/mac/Android aan het focussen waren. Linux is zo groot in "het internet" Dat dat wel een vitaal deel zou kunnen zijn in je "cyber oorlog"

Maar goed, mooi dat het al eigenlijk gepatched is en dat dit niet heel moeilijk is, net zoals het toen was met de windows variant. Al moet je altijd opletten met updates wat andere software doet met de nieuwe update. Ziekenhuizen werken vaker op windows dan Linux maar kan me indenken dat sommige apparaten (MRI) juist wel een linux achtig OS hebben. Natuurlijk hebben die dan weer geen SMB open staan, althans dat hoop ik :D
SInds er Linux is worden er beveiligingslekken gevonden. Soms ernstige ernstige. Een beperkt deel haalt het nieuws en dan verschijnen opmerkingen zoals de jouwe. De staat van dienst van Linux op veiligheidsgebied heeft evenwel weinig te maken met dat er geen lekken gevonden worden. De staat van dienst van Linux op veiligeheidsgebied dat het nog nooit iemand gelukt is malware te schrijven die zich in het wild wist te verspreiden. Hoe erg het lek ook, tot grote malware-uitbraken heeft het nooit geleid. Ik zie, en ik zie een patch die geïnstalleerd moest worden, zoals er zoveel zijn. Er is nog niets bijzonders gebeurd.

[Reactie gewijzigd door dmantione op 25 mei 2017 14:25]

Ik snap je reactie op mij. En dit lek is inderdaad niet inherent aan Linux te wijten maar aan samba zelf. Ik weet ook dat er nog geen grote uitbraken zijn geweest van ransomware op Linux machines.

Is het dan zo dat ook NSA niks heeft weten te maken voor Linux? Ik zou daar toch niet helemaal gerust op zijn ook al is er nog nooit een grote uitbraak geweest. Windows netwerken zijn zoals je zelf ook weet veelal makkelijker omdat iedereen er mee werkt. Linux draait inderdaad veelal op de achtergrond en de gebruikers die de fouten maken op Windows wat het ook zo'n goede markt maakt. Systemen die afhankelijk zijn van oude software kunnen soms niet geüpdatet worden. Dat is het risico dat er is en te wijten aan alle programma makers en soms ook gewoon aan een laks update beleid.

Wat er met windows gebeurt is kortgeleden was namelijk ook maar gewoon up te date zijn. Zo ook met Linux machines. Het zou me, ook al is het tot op heden nog niet gebeurd, niet verbazen mocht er ineens wél een 'uitbraak' zijn op Linux. Dat Windows tot op heden het grootste en meest aangevallen systeem is. Als ze, de NSA, ook tools hebben voor MacOs wat gebaseerd is op Unix. Waarom zouden ze Linux dan niet ook kunnen aanvallen?
Linux is het meest gebruikte besturingssysteem. Het is daarom redelijk waarschijnlijk dat de NSA naast naar lekken in Windows ook naar lekken in Linux heeft gezocht en de kans is groot dat ze ze ook hebben gevonden.

Een belangrijke reden waarom het moeilijk is om malware te maken voor Linux is het gebrek aan monocultuur: De Samba-versie in SuSE is een net iets andere versie en met een net iets andere compiler gecompileerd dan de versie in Debian. Dat betekent dat de interne geheugenopbouw anders is en het uitbuiten van lekken vereist vaak kennis van de interne geheugenopbouw. Combineer het met de grotere verscheidenheid aan processoren (zo'n Synology-NAS heeft een ARM-processor) en de hoeveelheid arbeid om alles te ondersteunen met 1 stuk malware wordt al snel oneconomisch. Omdat systemen elkaar moeten kunnen besmetten voor een effectieve internetaanval, betekent het gebrek aan ondersteuning van een belangrijke groep apparaten al direct dat malware zich heel wat minder effectief verspreid.

De NSA heeft daar minder last van: Die kunnen het zich permitteren om 1 stuk malware te schrijven voor de computer van de verdachte waarin ze geïnteresseerd zijn. Het gebrek aan monocultuur betekent wel wat extra arbeid voor de NSA, maar hun aanvalssoftware hoeft niet op ieder denkbaar systeem te draaien.

Als je bang bent voor de NSA, kun je dan beter op Windows of op Linux zitten? Het is duidelijk dat geen van beiden je absolute veiligheid kan bieden. Ik denk dat er echter toch nog redelijk wat argumenten zijn aan te voeren waarom Linux toch een beter idee is: Vanwege de open broncode is er minder risico op achterdeurtjes (Microsoft is Amerikaans), je hebt meer controle wat er precies op je computer draait en meer mogelijkheden een kritisch systeem uit te kleden (bijvoorbeeld geen Samba installeren).
Ik ben zelf ook niet echt bang voor de NSA. ik gebruik zowel Windows als Linux als MacOs. Afhankelijk van wat ik moet doen en wat het dichtst in de buurt ligt :p

Je maakt een mooie toevoeging en ik zou je ook een +2 geven als ik kon :)
Al ben ik me bewust van hetgeen je verteld. Er zijn verschillen in de protocollen en versies van linux. Ook de NAS systemen die je aangeeft zijn verschillend op vlakken.

Ik probeer windows omgevingen zo goed mogelijk dicht te zetten als kan. Maar we moeten ook rekening houden met gebruiksgemak. Voor Mac is het niet anders en ook in Linux moet je enkel aanzetten wat je nodig hebt en al het andere uit. Maar ook daar zie ik mensen die express SE linux uitzetten omdat ze het moeilijk vinden. Oké prima op je thuis webserver, moet je vooral doen wat je wilt maar in bedrijfsomgevingen :/ Het is maar een beveiliging voor je systeem.

Maar zoals je zegt elk systeem heeft voor en tegens. Windows is nu eenmaal een doelwit vanwege de vele gebruikers omdat je dan de persoon/ het bedrijf zelf treft. En dat levert meer op dan dat je verschillende dingen moet gaan doen.
Linux is er ook in allerlei smaken en voor menig kun je ook iets vinden dat je leuk vind. Maar voor sommige software zitten we nog altijd vast aan Windows.

Waakzaam zijn is dus een punt op welk systeem je ook zit, blijf up to date :)
Ik denk dat je de spijker op zijn kop slaat, daar heb ik eigenlijk nog nooit zo goed over nagedacht. Ik dacht dat eerder Linux gebruikers iets meer bezig zouden zijn met rechten en dat soort dingen, maar ik zit wat na te denken over die monocultuur opmerking van je en ik geloof dat dat hem inderdaad is. Gemakzuchtigheid van mensen beperken zich niet tot één OS, maar dat zit in de gebruiker.

Ergo: Ik denk dat inderdaad dit weleens de reden kan zijn. Ik geloof overigens ook dat Linux gebruikers wel zich meer bewust zijn van dit soort issues, waar ik andere OS'sen meer gebruikers zie hebben. Waar niks mis mee is overigens.

Of je beter op de één of andere OS kan zitten, ik weet het niet. Bij mij hangt dat af van wat ik ermee wil. Mijn NAS draait op Debian, mijn PC op W10 omdat ik daar tooling op draai van mijn werk. En kijken naar de kabelaar via de PC gaat ook wat minder handig met een Linux doos. Dus ach, allemaal afhankelijk van het doel. Weer wat stof tot nadenken, dat vind ik altijd weer leuk aan deze reacties!
Iomega zelf is gehackt door een websitetroll.

Op een wat oudere NAS probeer ik de software te updaten, door op de link "You can check for an update manually by visiting The Iomega Software Update Web Site." te klikken die de NAS zelf geeft. Dan kom je op een trollwebsite uit: www.iomega.com

Dit zou logischerwijs de website van Iomega moeten zijn, maar zo te zien is Iomega gehackt? Weet iemand toevallig het juiste IP adres van Iomega?

[Reactie gewijzigd door Trommelrem op 25 mei 2017 12:57]

2013: January, Iomega Corporation was renamed to LenovoEMC Limited, which is a joint venture between Lenovo Group Limited and EMC Corporation. Lenovo owns the majority stake in the new company.
De nieuwe website zou www.lenovoemc.com moeten zijn, maar die verwijst door naar lenovo.com
Hoe moeten de oude NAS devices dat dan weten? Het is een security risk van Bijbelse proporties om domeinnamen te laten verlopen, want dan kun je malafide firmware deployen naar NAS en IoT devices die op basis van DNS naam naar updates zoeken.
Ik vind het ook wel vreemd ja, misschien wordt de site nog wel gebruikt voor updates van NAS-apparaten en niet meer als frontend website, maar waarom hij dan niet ook doorverwijst naar Lenovo weet ik ook niet.
Omdat de website niet in handen is van Lenovo, maar van een troll. Waarschijnlijk heeft de troll zelfs op de backend virussen neergezet: Firmwares voor NASsen waar virussen op staan.

Genoeg reden dus om IoT en NAS devices niet automatisch te laten updaten. De enige uitzonderingen waar je wel veilig kunt updaten zijn Synology, Microsoft en RedHat en nog een handjevol anderen.
Het is een security risk van Bijbelse proporties om domeinnamen te laten verlopen, want dan kun je malafide firmware deployen naar NAS en IoT devices die op basis van DNS naam naar updates zoeken.
Dat weet jij; dat weten wij; en dat weet Lenovo hopelijk ook wel, maar die laatste kan het waarschijnlijk gewoon geen bal schelen. (Security en Lenovo is al jaren een tranendal.)
Het is mij een raadsel waarom iemand een SMB share op het internet zou zetten. File sharing met SMB is alleen bedoeld voor interne netwerken.

Zijn het dat allemaal foutief geconfigureerde machines?
Niet iedere beheerder/hobbyist is secuur met zijn firewalling. Ook is deze exploit als second stage bruikbaar - initiele verspreiding via email, zodra een virus met deze exploit zich op je interne netwerk bevind kan die zich dan verspreiden via deze exploit. Zoals bij WannaCry ook gebeurde.
Alleen bedoeld voor interne netwerken?

https://en.wikipedia.org/wiki/Server_Message_Block

Vanuit de basis juist voor internet het heet ook niet voor niets SMB/CIFS ( Server Message Block (SMB), also known as Common Internet File System) ontworpen door Andrew Tridgell bij IBM en door Microsoft omarmt en uiteraard aangepast
Netgear valt ook in de prijzen, ook routers. Vind dat toch wat tricky...

https://kb.netgear.com/00...mba-Remote-Code-Execution
Veel routers hebben een USB poort, waar je device kan aanhangen, en die dan sharen over het netwerk. Via inderdaad, SMB/Samba.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*