Découverte d'une dangereuse vulnérabilité exploitable à distance dans Samba

Samba, l'outil de partage de fichiers largement utilisé, a une présence bien établie, notamment dans les environnements de systèmes mixtes, où les partages de fichiers doivent être accessibles à partir de différents systèmes d'exploitation. Comme NFS, il jouit d'une réputation bien méritée en matière de compatibilité, de disponibilité et, surtout, de sécurité.

Les services très médiatisés comme Samba sont des cibles attrayantes pour les attaquants, et les vulnérabilités découvertes dans ces services peuvent souvent avoir des conséquences importantes qui sont parfois perdues dans le bruit autour des annonces CVE. CVE-2021-44142, l'une des vulnérabilités récemment divulguées affectant Samba, a réussi à se démarquer des autres. Il s'agit d'un vecteur exploitable à distance qui pourrait déclencher l'exécution de code à distance. Quelqu'un d'autre se souvient-il de Log4j ?

Toutes les versions de Samba antérieures à 4.13.17 sont concernées. L'équipe Extended Lifecycle Support de TuxCare a publié des correctifs pour CentOS 8.4, 8.5 et Ubuntu 16.04, qui sont tous concernés.

Selon la description de la vulnérabilité faite par le projet Samba, il est possible pour un attaquant distant de déclencher une lecture/écriture du tas hors limites, ce qui conduira à l'exécution d'un code arbitraire en tant que root. La faille se trouve dans le module VFS appelé vfs_fruit.

Samba implémente des comportements supplémentaires en s'appuyant sur un système de plugin, ou module, pour permettre une fonctionnalité étendue pour les protocoles pris en charge, ou l'ajout de toute nouvelle fonctionnalité. Vfs_fruit est un de ces modules qui ajoute le support des métadonnées d'attributs étendus pour les clients SMB d'Apple. Lorsqu'un utilisateur a le droit d'écrire sur les attributs étendus d'un fichier, ces attributs étendus peuvent être manipulés de manière à déclencher la faille.

Si votre environnement ne comporte pas de clients Apple SMB, ou si vous n'avez pas besoin de la fonctionnalité fournie par le module vfs_fruit, vous pouvez le supprimer de la configuration en éditant smb.conf et en supprimant toute entrée "fruit" dans la ligne de configuration pour "vfs objects". Cela a pour effet secondaire évident de désactiver la prise en charge de ces attributs étendus, ce qui a pour conséquence que les clients macOS affichent ces informations comme étant vides. Si c'est un résultat acceptable, alors cette solution de contournement évitera le problème du module VFS.

Cependant, si vous comptez sur cette fonctionnalité, vous devez corriger vos systèmes utilisant Samba dès que possible. En raison de son vecteur d'attaque exploitable à distance, cette vulnérabilité a reçu l'une des notes de sécurité les plus élevées de ces derniers mois. Redhat, par exemple, lui a attribué une note de 9,9 sur 10 (CVSS v3).

Bien que certains sysadmins puissent passer des années sans jamais utiliser ce module, il est inclus et activé par défaut dans les périphériques et les appareils conçus pour fonctionner dans des environnements de systèmes mixtes, comme les NAS et les systèmes de stockage. Si vous ne disposez pas de correctifs pour ces périphériques, car ils peuvent nécessiter des mises à jour spécifiques du firmware, vous devriez au moins envisager d'appliquer la solution de contournement décrite ci-dessus si vous pouvez modifier directement smb.conf.

Comme toujours, l'équipe de TuxCare Extended Lifecycle Support fournit aux utilisateurs du service des correctifs pour les systèmes Enterprise Linux concernés. Plus précisément, des correctifs sont déjà disponibles pour CentOS 8.4, 8.5 et Ubuntu 16.04.

Si vous souhaitez en savoir plus sur l'Extended Lifecycle Service de TuxCare et sur la manière dont il peut vous aider à assurer le bon fonctionnement et la sécurité de vos systèmes hors support tout en répondant aux exigences de conformité, vous pouvez trouver plus d'informations ici.