Recientemente se ha descubierto una vulnerabilidad de ejecución de código remoto que convivía desde hace 7 años en el software de red Samba. Éste podría permitir a un atacante remoto tomar el control de las máquinas Linux y Unix afectadas. Samba es un software de código abierto; básicamente es una re-implementación del protocolo de red SMB que se ejecuta en la mayoría de los sistemas operativos disponibles hoy en día, incluyendo Windows, Linux, UNIX, IBM System 390 y OpenVMS.
Samba permite que los sistemas operativos que no sean Windows, como GNU / Linux o Mac OS X, compartan carpetas compartidas de red, archivos e impresoras con el sistema operativo Windows.
La vulnerabilidad CVE-2017–7494 se califica como el equivalente de WannaCry para Linux, y algunos incluso ya lo llaman SambaCry, ya que afecta a la implementación del protocolo SMB en Linux y es una vulnerabilidad potencial para los creadores de Ransomware. SambaCry es similar solo porque la vulnerabilidad afecta al protocolo SMB en sistemas basados en UNIX.
¿Cuál es la superficie de ataque?
Una búsqueda rápida de Shodan muestra que solamente en latinoamerica existen más de 98.000 hosts habilitados para Samba que son accesibles a través de Internet. Sin embargo, no está claro cuántos de ellos están ejecutando versiones vulnerables de Samba.
La falla reside en la forma en que Samba maneja las bibliotecas compartidas. Un atacante remoto podría usar esta vulnerabilidad para cargar una biblioteca compartida en un recurso compartido escribible y luego hacer que el servidor cargue y ejecute código malicioso.
La vulnerabilidad es muy fácil de explotar: sólo se requiere una línea de código para ejecutar código malicioso en el sistema afectado.
simple.create_pipe("/path/to/target.so")
Sin embargo, el exploit de Samba ya ha sido portado a Metasploit, y permite a los investigadores y a los hackers explotar ésta falla, fácilmente.
Corregir la vulnerabilidad
Se recomienda que los equipos de seguridad y TI tomen medidas inmediatas para protegerse de esta vulnerabilidad (Samba CVE-2017–7494). Si hay una versión vulnerable de Samba ejecutándose en un dispositivo y un usuario malintencionado tiene acceso para cargar archivos a esa máquina, la explotación sera muy fácil.
La vulnerabilidad CVE-2017–7494 afecta a todas las versiones de Samba desde la versión 3.5.0 en adelante. Samba ya ha incluido las correcciones en un nuevo release de seguridad para las versiones 4.6.4, 4.5.10 y 4.4.14. Las correcciones para versiones de Samba mas antiguas pueden encontrarlas en https://samba.org/samba/patches/
Trabajo de borde
Por distintos motivos, muchas veces no se puede actualizar a las últimas versiones inmediatamente, pero tienes la opción de evitar la vulnerabilidad añadiendo la siguiente línea a al archivo de configuración de Samba smb.conf en la sección [global]:
nt pipe support = no
Una vez agregado, reinicie el demonio SMB de la red (smbd). Este cambio impide que los clientes SMB1 creen enlaces simbólicos en el archivo exportado.
Cosas a tomar en cuenta
Muchos entornos NAS se utilizan como sistemas de respaldo de red. Un ataque directo o un malware haría que esos respaldos fueran casi inútiles. Se aconseja a las organizaciones que creen una copia de seguridad sin conexión de los datos críticos tan pronto como sea posible, si las correcciones descritas anteriormente no se pueden hacer inmediatamente.
fuente: https://blog.guayoyolabs.com/sambacry-cve-2017-7494-permite-a-los-hackers-acceder-a-miles-de-ordenadores-linux-de-forma-remota-b4014ac281d9
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad