Hampir dua bulan yang lalu, kami melaporkan tentang kerentanan remote code execution yang kritis dalam software jaringan Samba, yang memungkinkan seorang hacker untuk mengambil alih kendali mesin Linux dan Unix yang rentan.
Kerentanan ini dijuluki sebagai SambaCry, karena kesamaannya dengan kerentanan Windows SMB yang dieksploitasi oleh ransomware WannaCry dan mendatangkan malapetaka di seluruh dunia dua bulan yang lalu.
Meskipun telah dipatch pada akhir Mei, menurut periset di Trend Micro kerentanan SambaCry tersebut saat ini sedang dieksploitasi oleh malware baru yang menargetkan perangkat Internet of Things (IoT), khususnya peralatan Network Attached Storage (NAS).
Tak lama setelah publikasi tentang keberadaannya, kerentanan SambaCry (CVE-2017-7494) kebanyakan dieksploitasi untuk menginstal perangkat lunak penambangan cryptocurrency – “CPUminer” yang menambang mata uang digital “Monero” – di sistem Linux.
Namun, peluncuran malware terbaru yang melibatkan kerentanan SambaCry ditemukan oleh para periset di Trend Micro pada bulan Juli menargetkan sebagian besar perangkat NAS yang digunakan oleh usaha kecil dan menengah.
Malware SHELLBIND Mengeksploitasi SambaCry Untuk Menargetkan Perangkat NAS
Dijuluki SHELLBIND, malware ini bekerja pada berbagai arsitektur, termasuk MIPS, ARM dan PowerPC, lalu dikirim sebagai file objek bersama (.SO) ke folder publik Samba dan dimuat melalui kerentanan SambaCry.
Setelah ditempatkan di mesin yang target, malware membentuk komunikasi dengan server command-and-control (C&C) penyerang yang berada di Afrika Timur, dan memodifikasi pengaturan firewall untuk memastikannya dapat berkomunikasi dengan server.
Setelah berhasil membangun koneksi, malware memberikan akses penyerang ke perangkat yang terinfeksi dan memberi mereka shell perintah terbuka di perangkat, sehingga mereka dapat mengeluarkan sejumlah serta jenis perintah sistem dan akhirnya mengendalikan perangkat.
Untuk menemukan perangkat rentan yang menggunakan Samba, penyerang dapat memanfaatkan mesin pencari Shodan dan menulis file malware asli ke folder publik mereka.
“Sangat mudah untuk menemukan perangkat yang menggunakan Samba di Shodan: mencari port 445 dengan string ‘samba’ akan menghasilkan daftar IP yang layak,” kata periset saat menjelaskan kerentanan ini.
“Penyerang kemudian hanya perlu membuat alat yang dapat secara otomatis membuat file berbahaya ke setiap alamat IP dalam daftar. Begitu mereka membuat file ke dalam folder publik, perangkat dengan kerentanan SambaCry bisa menjadi korban ELF_SHELLBIND.A”
Namun, tidak jelas apa yang dilakukan penyerang dengan perangkat yang dikompromikan dan motif sebenarnya di balik penyerangan ini.
