Información sobre la última vulnerabilidad en Samba y cómo proteger los sistemas contra las amenazas que la explotan.
Una versión más antigua de la vulnerabilidad out-of-bounds (OOB) en Samba fue revelada a través del evento Pwn2Own Austin 2021 de la Trend Micro Zero Day Initiative (ZDI). ZDI investigó más a fondo la brecha de seguridad y encontró más variantes de la vulnerabilidad después del evento y subsecuentemente reveló los hallazgos a la empresa. aunque no hemos visto ningún ataque activo explotando esta vulnerabilidad, CVE-2021-44142 recibió una calificación CVSS de 9.9 de las tres variantes reportadas. en caso de ser abusada, esta brecha de seguridad puede utilizarse por atacantes remotos para ejecutar código arbitrario como raíz en todas las instalaciones afectadas que utilicen el módulo vfs_fruit de virtual file system (VFS). Samba ha liberado a todos los parches relevantes para mitigar el impacto de las amenazas que pueden abusar esta brecha. los clientes de Trend Micro están protegidos y pueden seguir pasos alternativos para abordar este tema.
¿Qué es Samba? Samba es una suite de software de interoperabilidad estándar integrada en Windows, una reimplementación del protocolo de redes SMB (Server Message Block) para servicios de archivos y de impresión. Corre en la mayoría de los sistemas Unix y similares a Unix como Linux y macOS, entre otras versiones y sistemas operativos (OS) que usen el protocolo CIFS (SMB/Common Internet File System). Esto le permite a los administradores de red configurar, integrar e instalar equipo ya sea con un controlador de dominio (DC) o un miembro del dominio, y comunicarse con clientes basados en Windows.
¿Qué es CVE-2021-44142?
CVE-2021-44142 es una vulnerabilidad que permite que los atacantes remotos ejecuten código arbitrario en instalaciones afectadas de Samba. La brecha específica existe en el análisis de los metadatos de EA en el daemon del servidor smbd al abrir un archivo. Un atacante puede abusar de esta vulnerabilidad para ejecutar código en el contexto raíz incluso sin autenticación.
Si bien la versión analizada fue smbd 4.9.5, que no es la última versión, algunos proveedores incorporan esta y versiones anteriores del demonio del servidor en sus productos, como se vio en el evento Pwn2Own 2021. Esto también está habilitado de forma predeterminada para permitir el uso compartido de archivos y la interoperabilidad entre los dispositivos disponibles, en particular el código abierto NetaTalk implementado. Esta implementación es una implementación de servidor de archivos disponible gratuitamente del Protocolo de archivo de Apple (AFP) que sirve a los dispositivos Apple. Como se indica en el aviso del proveedor, si las opciones en las configuraciones predeterminadas de vfs_fruit se establecen en configuraciones distintas a la opción preseleccionada, el sistema no se ve afectado por la vulnerabilidad.
¿Quién y qué se puede ver afectado?
Samba ha lanzado el parche del código fuente para esta brecha, junto con las otras vulnerabilidades que se les revelaron. Samba también anunció que esta vulnerabilidad afecta a todas las versiones de Samba anteriores a la 4.13.17. Además, se han emitido versiones de seguridad para corregir dicha brecha para Samba 4.13.17, 4.14.12 y 4.15.5, y se recomienda a los administradores que actualicen estas versiones y apliquen el parche de inmediato. Es probable que los dispositivos de almacenamiento conectado a la red (NAS) también se vean afectados por esta vulnerabilidad y se espera que los proveedores publiquen actualizaciones para sus respectivos dispositivos. La lista de vendors de la empresa muestra que los sectores potenciales afectados por este problema de seguridad incluyen industrias críticas como comunicaciones, energía, gobierno, fabricación y ciencia y tecnología, así como dispositivos de consumo como electrodomésticos y dispositivos de Internet de las cosas (IoT).
¿Cómo puede mitigarse la vulnerabilidad en Samba?
Los parches se liberaron en enero y se recomienda a los administradores que apliquen las actualizaciones correspondientes lo antes posible. Si bien el vendor también recomendó eliminar el módulo VFS fruit de las líneas de objetos vfs como solución alternativa, esto puede afectar gravemente a los sistemas macOS que intentan acceder a la información almacenada en el servidor. Se recomienda a los administradores que se concentren en probar e implementar el parche para remediar la vulnerabilidad. ZDI también informa que muchos vendors diferentes necesitarán actualizar su versión para enviarse con los dispositivos afectados (como los dispositivos NAS), por lo que se puede esperar la liberación de parches adicionales.
¿Se ha usado esta vulnerabilidad en ataques?
Las versiones anteriores de Samba, como la 3.6.3 y anteriores, informaron de problemas de seguridad que permiten a los usuarios no autorizados obtener acceso a la raíz desde una conexión anónima al explotar el procedimiento de llamadas remotas de Samba. Otras revelaciones también se han hecho antes:
- En 2016, Badlock (asignado CVE-2016-2118, calificado como Crítico) se reveló a Windows y Samba, donde los protocolos de aumento, modificación y redefinición de sustitución (SAMR) y el dominio de la autoridad de seguridad local (LSAD) podrían ser objeto de abuso para ataques Man-in-the-middle (MiTM).
- En 2017, se encontró una brecha en la ejecución remota de código en Samba y se denominó EternalRed o SambaCry (asignado CVE-2017-7494, calificado como Importante), que afectó a todas las versiones desde la 3.5.0. NamPoHyu estaba entre las familias de ransomware que explotaron esta brecha.
- En 2020, se identificó una prueba de concepto (PoC) para una vulnerabilidad de Netlogon llamada Zerologon (asignada CVE-2020-1472, calificada como crítica). La falla permitió a un atacante elevar los privilegios al establecer una conexión de canal seguro de Netlogon vulnerable a un controlador de dominio utilizando el protocolo remoto de Netlogon (MS-NRPC). Se ordenó a las agencias federales que utilizan el software que instalen los parches liberados en agosto de 2020.
Dado el uso estándar de Samba para la interoperabilidad del sistema a través del protocolo SMB, los administradores deben monitorear las transmisiones de datos compartidos de archivos, impresoras y acceso. Los atacantes pueden abusar de Windows SMB, que se usa para servicios remotos, para propagarse a través de la red de la organización, o usarse como un punto de partida para propagarse a otros sistemas conectados. Se recomienda a los administradores que habiliten soluciones que puedan monitorear y buscar transmisiones que requieran las configuraciones de vfs_fruit.
Soluciones de Trend Micro
Trend Micro ha publicado un artículo en la Base de Conocimientos que aborda este tema de seguridad. Además de instalar los parches liberados por el vendor, Trend Micro ha liberado reglas, filtros y soluciones de detección y protección suplementarias que podrían ofrecer capas adicionales de prevención y mitigación contra los componentes maliciosos que pudiesen explotar esta vulnerabilidad.
Leave a Reply