La vulnerabilidad de Samba: qué es CVE-2021-44142 y cómo solucionarlo
Información sobre la última vulnerabilidad de Samba y cómo proteger los sistemas contra las amenazas que pueden aprovecharla.
Save to Folio
Por: Trend Micro
Una versión anterior de una vulnerabilidad fuera de los límites (OOB) en Samba fue revelada a través de Pwn2Own Austin 2021 de Trend Micro Zero Day Initiative (ZDI). ZDI investigó más a fondo la brecha de seguridad y encontró más variantes de la vulnerabilidad después del evento y posteriormente reveló los hallazgos a la empresa. Aunque no hemos visto ningún ataque activo que explote esta vulnerabilidad, CVE-2021-44142 recibió una calificación CVSS de 9,9 de las tres variantes reportadas. Si se abusa de esta brecha de seguridad, los atacantes remotos pueden utilizarla para ejecutar código arbitrario como root en todas las instalaciones afectadas que utilicen el módulo vfs_fruit del sistema de archivos virtual (VFS). Samba ha publicado todos los parches pertinentes para mitigar el impacto de las amenazas que pueden abusar de esta brecha. Los clientes de Trend Micro están protegidos y pueden seguir las soluciones alternativas manuales para abordar este problema.
¿Qué es Samba?
Samba es un conjunto de software de interoperabilidad estándar integrado en Windows, una reimplementación del protocolo de red de bloque de mensajes de servidor (SMB) para servicios de archivo e impresión. Se ejecuta en la mayoría de los sistemas Unix y similares, como los sistemas Linux y macOS, entre otras versiones y sistemas operativos (OS) que utilizan el protocolo SMB/Common Internet File System (CIFS). Esto permite a los administradores de red configurar, integrar y establecer el equipo como controlador de dominio (DC) o miembro del dominio, y comunicarse con los clientes basados en Windows.
¿Qué es CVE-2021-44142?
CVE-2021-44142 es una vulnerabilidad que permite a los atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Samba. La brecha específica existe en el análisis de los metadatos de EA en el daemon del servidor smbd al abrir un archivo. Un atacante puede abusar de esta vulnerabilidad para ejecutar código en el contexto raíz, incluso sin autenticación.
Aunque la versión analizada fue smbd 4.9.5, que no es la más reciente, algunos proveedores incorporan esta y otras versiones anteriores del daemon del servidor en sus productos, como se vio en el evento Pwn2Own 2021. Esto también está habilitado por defecto para permitir el intercambio de archivos y la interoperabilidad entre los dispositivos disponibles, en particular el código abierto implementado NetaTalk. Esta implementación es una implementación de servidor de archivos de libre acceso del Protocolo de Archivo de Apple (AFP) que sirve a los dispositivos de Apple. Como se indica en el aviso del proveedor, si las opciones de las configuraciones por defecto de vfs_fruit se establecen en valores distintos de la opción preseleccionada, el sistema no se ve afectado por la vulnerabilidad.
¿Quiénes y qué es probable que se vea afectado?
Samba ha publicado el parche de código fuente para esta brecha, junto con las otras vulnerabilidades que les fueron reveladas. Samba también ha anunciado que esta vulnerabilidad afecta a todas las versiones de Samba anteriores a la 4.13.17. Además, se han publicado comunicados de seguridad para corregir dicha brecha para Samba 4.13.17, 4.14.12 y 4.15.5, aconsejando a los administradores que actualicen estas versiones y apliquen el parche inmediatamente. Es probable que los dispositivos de almacenamiento conectado a la red (NAS) también se vean afectados por esta vulnerabilidad y se espera que los proveedores publiquen actualizaciones para sus respectivos dispositivos. La lista de proveedores de la compañía muestra que los posibles sectores afectados por este problema de seguridad incluyen industrias críticas como las comunicaciones, energía, administración pública, fabricación y ciencia y tecnología, así como dispositivos de consumo como los electrodomésticos y los dispositivos de Internet de las cosas (IoT).
¿Cómo se puede mitigar la vulnerabilidad de Samba?
Los parches se publicaron en enero, y se aconseja a los administradores que apliquen las actualizaciones correspondientes lo antes posible. Aunque el proveedor también ha aconsejado eliminar el módulo fruit VFS de las líneas de objetos vfs como solución, esto puede afectar gravemente a los sistemas macOS que intenten acceder a la información almacenada en el servidor. Se aconseja a los administradores que se centren en probar y desplegar el parche para remediar la vulnerabilidad. ZDI también aconseja que muchos proveedores diferentes necesitarán actualizar su versión para enviar los dispositivos afectados (como los dispositivos NAS), por lo que se puede esperar la publicación de parches adicionales.
¿Se ha abusado de Samba para realizar ataques?
Las versiones anteriores de Samba, como la 3.6.3 e inferiores, han reportado problemas de seguridad que permiten a usuarios no autorizados obtener acceso de root desde una conexión anónima explotando la llamada a procedimiento remoto de Samba. Otras revelaciones también se han hecho antes:
- En 2016, se reveló Badlock (asignado CVE-2016-2118, calificada como Crítica) a Windows y Samba, donde los protocolos de aumento, modificación y redefinición de sustitución (SAMR) y dominio de autoridad de seguridad local (LSAD) podrían ser abusados para ataques de man-in-the-middle (MiTM).
- En 2017, se encontró una brecha de ejecución remota de código en Samba y se denominó EternalRed o SambaCry (asignado CVE-2017-7494, calificado como Importante), que afectó a todas las versiones desde la 3.5.0. NamPoHyu se encontraba entre las familias de ransomware que explotaban esta brecha.
- En 2020, se identificó una prueba de concepto (PoC) para una vulnerabilidad de Netlogon llamada Zerologon (asignada CVE-2020-1472, calificada como Crítica). El fallo permitía a un atacante elevar los privilegios estableciendo una conexión de canal seguro Netlogon vulnerable a un controlador de dominio utilizando el protocolo remoto Netlogon (MS-NRPC). Se ordenó a las agencias federales que utilizaban el software que instalaran los parches publicados en agosto de 2020.
Dado el uso estándar de Samba para la interoperabilidad de sistemas a través del protocolo SMB, los administradores deben supervisar las transmisiones de datos compartidos de archivos, impresoras y accesos. El SMB de Windows, que se utiliza para los servicios remotos, puede ser objeto de abuso por parte de los atacantes para propagarse a través de la red de la organización, o utilizarse como punto de partida para extenderse a otros sistemas conectados. Se aconseja a los administradores que habiliten soluciones que puedan monitorizar y escanear las transmisiones que requieran las configuraciones vfs_fruit.
Soluciones de Trend Micro
Trend Micro ha publicado un artículo en la Knowledge Base que aborda este problema de seguridad. Además de la instalación de los parches publicados por el proveedor, Trend Micro ha publicado reglas complementarias, filtros y soluciones de protección de detección que pueden proporcionar capas adicionales de prevención y mitigación contra componentes maliciosos que pueden explotar esta vulnerabilidad.