¿Qué es Samba?

Samba es un paquete de software de interoperabilidad estándar integrado en Windows, una reimplementación del protocolo de red del bloque de mensajes del servidor (SMB) para servicios de archivo e impresión. Se ejecuta en la mayoría de los sistemas Unix y similares, como los sistemas Linux y macOS, entre otras versiones y sistemas operativos (OS) que utilizan el protocolo SMB/Common Internet File System (CIFS). Esto permite a los administradores de red configurar, integrar y configurar equipos como controlador de dominio (DC) o miembro de dominio, y comunicarse con clientes basados ​​en Windows.

¿Qué es CVE-2021-44142?

CVE-2021-44142 es una vulnerabilidad que permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Samba. La brecha específica existe en el análisis de los metadatos de EA en el demonio del servidor smbd al abrir un archivo. Un atacante puede abusar de esta vulnerabilidad para ejecutar código en el contexto raíz incluso sin autenticación.

Si bien la versión analizada fue smbd 4.9.5, que no es la última versión, algunos proveedores incorporan esta y versiones anteriores del demonio del servidor en sus productos, como se vio en el evento Pwn2Own 2021 . Esto también está habilitado de forma predeterminada para permitir el uso compartido de archivos y la interoperabilidad entre los dispositivos disponibles, en particular, NetaTalk implementado de código abierto . Esta implementación es una implementación de servidor de archivos disponible gratuitamente del Protocolo de archivo de Apple (AFP) que sirve a los dispositivos Apple. Como se indica en el aviso del proveedor , si las opciones en las configuraciones predeterminadas de vfs_fruit se establecen en configuraciones distintas a la opción preseleccionada, el sistema no se ve afectado por la vulnerabilidad.

¿Quién y qué es probable que se vea afectado?


Samba ha lanzado el parche del código fuente para esta brecha, junto con las otras vulnerabilidades que se les revelaron. Samba también anunció que esta vulnerabilidad afecta a todas las versiones de Samba anteriores a la 4.13.17. Además, se han emitido versiones de seguridad para corregir dicha brecha para Samba 4.13.17, 4.14.12 y 4.15.5, y se recomienda a los administradores que actualicen estas versiones y apliquen el parche de inmediato. Es probable que los dispositivos de almacenamiento conectado a la red (NAS) también se vean afectados por esta vulnerabilidad y se espera que los proveedores publiquen actualizaciones para sus respectivos dispositivos. La lista de proveedores de la empresa.muestra que los sectores potenciales afectados por este problema de seguridad incluyen industrias críticas como comunicaciones, energía, gobierno, fabricación y ciencia y tecnología, así como dispositivos de consumo como electrodomésticos y dispositivos de Internet de las cosas (IoT).


¿Cómo se puede mitigar la vulnerabilidad de Samba?

Los parches se lanzaron en enero y se recomienda a los administradores que apliquen las actualizaciones correspondientes lo antes posible. Si bien el proveedor también recomendó eliminar el módulo Fruit VFS de las líneas de objetos vfs como solución alternativa, esto puede afectar gravemente a los sistemas macOS que intentan acceder a la información almacenada en el servidor. Se recomienda a los administradores que se concentren en probar e implementar el parche para remediar la vulnerabilidad. ZDI también advierte que muchos proveedores diferentes necesitarán actualizar su versión para enviarse con los dispositivos afectados (como los dispositivos NAS), por lo que se puede esperar el lanzamiento de parches adicionales.

¿Se ha abusado de Samba para los ataques?

Las versiones anteriores de Samba, como la 3.6.3 y anteriores, informaron problemas de seguridad que permiten a los usuarios no autorizados obtener acceso a la raíz desde una conexión anónima al explotar la llamada a procedimiento remoto de Samba . Otras revelaciones también se han hecho antes:

  • En 2016, Badlock (asignado CVE-2016-2118 , calificado como Crítico ) se reveló a Windows y Samba, donde los protocolos de sustitución, aumento, modificación y redefinición (SAMR) y el dominio de la autoridad de seguridad local (LSAD) podrían abusarse de los protocolos man-in. Ataques intermedios (MiTM).

  • En 2017, se encontró una brecha en la ejecución remota de código en Samba y se denominó EternalRed o SambaCry (asignado CVE-2017-7494 , calificado como Importante), que afectó a todas las versiones desde la 3.5.0. NamPoHyu estaba entre las familias de ransomware que explotaron esta brecha.

  • En 2020, se identificó una prueba de concepto (PoC) para una vulnerabilidad de Netlogon llamada Zerologon (asignada CVE-2020-1472 , calificada como crítica). La falla permitió a un atacante elevar los privilegios al establecer una conexión de canal seguro de Netlogon vulnerable a un controlador de dominio utilizando el protocolo remoto de Netlogon (MS-NRPC). Se ordenó a las agencias federales que utilizan el software que instalen los parches lanzados en agosto de 2020.


Dado el uso estándar de Samba para la interoperabilidad del sistema a través del protocolo SMB, los administradores deben monitorear las transmisiones de datos compartidos de archivos, impresoras y acceso compartido. Los atacantes pueden abusar de Windows SMB, que se usa para servicios remotos, para propagarse a través de la red de la organización, o usarse como un punto de partida para propagarse a otros sistemas conectados. Se recomienda a los administradores que habiliten soluciones que puedan monitorear y buscar transmisiones que requieran las configuraciones de vfs_fruit .


Fuente: TrendMicro


Abrir chat
1
Comunícate con nosotros
BITECNA
Hola!!
¿En qué podemos apoyarte?