Jetzt trifft’s mich doch – SambaCry: Eigentlich spiele ich so brav überall meine Sicherheitupdates ein, aber perfekt ist das nie – klar. Seit kurzen gibt es wohl die ersten Exploits.
Mein Backup-NAS ist ein Western Digital „WD MyCloud EX2“. Das scheint von WD nicht wirklich gut gepflegt zu sein: Letztes Update von März diesen Jahres. SambaCry ist also noch drin…
Was tun? Ich habe mir einen Workaround gegoogelt:
Daher habe ich mit per ssh auf der Box eingeloggt und
nt pipe support = no
im Abschnitt [global]
in /etc/samba/smb.conf
hinzugefügt. Jetzt ist wohl zwar kein Browsing auf share-Ebene mehr möglich, aber das stört mich nicht, weil ich die Freigaben ohnehin nur von Linux aus via AutoFS explizit mounte. Dachte ich so in meiner Naivität… Leider hat sich herausgestellt, dass die smb.conf generiert und überschrieben wird. Also war das keine Lösung 🙁 Ich habe nicht herausgefunden, wie die smb.conf erzeugt wird und wie ich das ggf. beeinflussen könnte. Mist…
Also ein anderer Weg: Zum Glück habe ich dieses NAS (weil ich ihm von Anfang an nicht recht über den Weg getraut habe – v.a. weg. der „Cloud“-Funktion) in einem separaten Netz, welches auch keinen Zugriff in mein internes Netz hat. Und so konnte ich nun den Zugriff auf dieses NAS auf ganz wenige Rechner beschränken – v.a. Nicht-Windows. Die Hoffnung besteht nun darin, dass das Risiko, dass sich ein SambaCry-Exploit auf einem der noch berechtigten Rechner einnistet, klein genug ist.
Jetzt muss ich nur noch meinen Uralten „Openfiler“ abschaffen. Für SambaCry ist er aber noch nicht anfällig 🙂 (Dafür aber wohl für eine Million andere bekannte Sicherheitslücken…)