Según un aviso publicado el día de ayer, las versiones de Samba liberadas en los últimos siete años tienen una vulnerabilidad de ejecución de código en remoto que permite a un atacante subir y ejecutar código en una computadora objetivo. Dependiendo de las habilidades del hacker, este podría hasta hacerse con el control del sistema.
La vulnerabilidad, cuyo código es CVE-2017-7494, afecta a todas las versiones de Samba desde la 3.5.0 en adelante y fue corregida por los mantenedores de este servidor el día de ayer en las versiones 4.6.4, 4.5.10 y 4.4.14. Según H. D. Moore, Vicepresidente de Investigación y Desarrollo en Atredis Partners, el problema de seguridad podría ser explotado a través de una línea de código utilizando el módulo Metasploit, que actualmente se encuentra en desarrollo. Esto significa que la vulnerabilidad CVE-2017-7494 podría ser pasado por un script y añadido a escáneres automatizados.
El problema es vuelve incluso más grande si vemos que Rapid7 ha descubierto más de 104.000 instalaciones de Samba expuestas a Internet que contienen la vulnerabilidad. Algunas distribuciones Linux instalan el mencionado servidor por defecto para facilitar la interoperabilidad con Windows.
Medida de mitigación para servidores que no se pueden actualizar
El parche solo está disponible para las ramas 4.4.x, 4.5.x, y 4.6.x de Samba. Para todos los que no puedan actualizar a la versión 4.4 por incompatibilidades de software o limitaciones de hardware, el Equipo de Samba recomienda como solución alternativa la siguiente mitigación a través de la adición un parámetro en el fichero smb.conf (en los sistemas Linux suele estar localizado en /etc/samba/smb.conf) en la sección [global] y luego reiniciar el servicio.
Establecer el parámetro:
nt pipe support = no
Reiniciar el servicio en systemd. En caso de no tener sudo instalado hay que iniciar la sesión como root y no escribir sudo, empezando el comando por systemctl. En caso de haberse iniciado sesión como root y tener sudo instalado, la primera palabra se puede o se tiene que obviar:
sudo systemctl restart smbd.service sudo systemctl restart nmbd.service
El parámetro evita que un atacante pueda abrir una “tubería” que le permita subir código malicioso a una instalación de Samba. Sin embargo, esto tiene un efecto que posiblemente no guste a muchos, y es que se deja de compartir con sistemas operativos Windows.
Se recomienda aplicar el parche publicado cuanto antes, sobre todo en servidores que están funcionando y escuchando desde Internet a través de los puertos 139 y 445, que son los utilizados por el protocolo SMB.
¿Qué es Samba?
Samba es una implementación libre de los protocolos SMB y CIFS (siendo el segundo el sucesor del primero). Básicamente permite a sistemas Unix y Unix-like (como Linux) compartir ficheros y otros recursos como impresoras con Windows, consiguiendo así cierto nivel de interoperabilidad entre sistemas de distinta naturaleza.
Sin embargo, el protocolo SMB ha sido puesto en evidencia en los últimos tiempos por culpa de WannaCry y de otra vulnerabilidad severa recientemente descubierta que implicó al navegador web Chrome.
Debido a todas las incidencias a nivel de seguridad recientes que están relacionadas o han implicado a SMB/CIFS, recomendamos la inhabilitación de Samba en todos los sistemas operativos Linux, Unix y Unix-like que no necesiten interaccionar con Windows.
Fuente:https://muyseguridad.net/2017/05/25/104-000-samba-ataques-remotos/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad