Peligrosa vulnerabilidad explotable remotamente encontrada en Samba

Samba, la herramienta de compartición de archivos más utilizada, tiene una presencia consolidada, especialmente en entornos de sistemas mixtos, en los que es necesario acceder a los archivos compartidos desde distintos sistemas operativos. Al igual que NFS, tiene una merecida reputación de compatibilidad, disponibilidad y, lo que es más importante, seguridad.

Los servicios de alto perfil como Samba son objetivos atractivos para los atacantes, y las vulnerabilidades encontradas en estos servicios a menudo pueden tener consecuencias de gran alcance que a veces se pierden en el ruido alrededor de los anuncios de CVE. CVE-2021-44142, una de las vulnerabilidades recientemente reveladas que afectan a Samba, ha conseguido situarse por encima del resto. Se trata de un vector explotable remotamente que podría desencadenar la ejecución remota de código. ¿Alguien más recuerda Log4j?

Todas las versiones de Samba anteriores a la 4.13.17 están afectadas. El equipo Extended Lifecycle Support de TuxCare ha publicado parches para CentOS 8.4, 8.5 y Ubuntu 16.04, todas ellas afectadas.

Según la propia descripción del proyecto Samba de la vulnerabilidad encontrada, es posible que un atacante remoto desencadene una lectura/escritura de heap fuera de límites, que a su vez conducirá a la ejecución de código arbitrario como root. El fallo se encuentra en el módulo VFS llamado vfs_fruit.

Samba implementa comportamientos adicionales basándose en un plugin, o sistema de módulos, para habilitar la funcionalidad extendida para los protocolos soportados, o añadiendo nuevas funcionalidades. Vfs_fruit es uno de estos módulos que añade soporte de metadatos de atributos extendidos para clientes SMB de Apple. Cuando un usuario tiene permiso de escritura en los atributos extendidos de un archivo, estos atributos extendidos pueden ser manipulados de tal manera que se active el fallo.

Si tu entorno no tiene clientes SMB de Apple, o no necesitas la funcionalidad proporcionada por el módulo vfs_fruit, puedes eliminarlo de la configuración editando smb.conf y eliminando cualquier entrada "fruit" en la línea de configuración para "vfs objects". Esto tiene el efecto secundario obvio de deshabilitar el soporte para estos atributos extendidos, lo que a su vez provoca que los clientes macOS muestren esta información como vacía. Si ese es un resultado aceptable, entonces esta solución evitará el problema del módulo VFS.

Sin embargo, si confía en esta funcionalidad, debería parchear sus sistemas con Samba lo antes posible. Debido a que tiene un vector de ataque explotable remotamente, esta vulnerabilidad ha recibido una de las puntuaciones de seguridad más altas vistas en los últimos meses. Redhat, por ejemplo, le asignó una puntuación de 9,9 sobre 10 (CVSS v3).

Mientras que algunos administradores de sistemas pueden pasar años sin utilizar nunca este módulo, está incluido y activado por defecto en dispositivos y aparatos construidos para trabajar en entornos de sistemas mixtos, como NAS y sistemas de almacenamiento. Si no dispone de parches para estos dispositivos, ya que pueden requerir actualizaciones específicas de firmware, al menos debería considerar aplicar la solución descrita anteriormente si puede modificar smb.conf directamente.

Como siempre, el equipo de TuxCare Extended Lifecycle Support está proporcionando a los usuarios del servicio parches para los sistemas Enterprise Linux afectados. En concreto, CentOS 8.4, 8.5 y Ubuntu 16.04 ya disponen de parches.

Si desea obtener más información sobre el servicio de ciclo de vida ampliado de TuxCare y sobre cómo puede ayudarle a mantener sus sistemas fuera de soporte funcionando sin problemas y de forma segura, a la vez que cumple los requisitos de conformidad, puede encontrar más información aquí.