Una crítica vulnerabilidad ha sido descubierta en el software de red Samba, la cual lleva más de 7 años en el código y podría permitir a un atacante controlar de forma integral y remota las maquinas UNIX y Linux que se vean afectadas.
Samba como seguramente saben todos nuestros lectores es un software open-source (una reimplantación del protocolo de red SMB) que puede ser ejecutado en la mayoría de sistemas operativos disponibles actualmente, incluyendo Windows, Linux, UNIX, entre otros.
Samba admite, como dijimos anteriormente, sistemas “no-windows” como GNU/Linux y MAC OS, para compartir archivos, carpetas e impresoras con máquinas que trabajen con el SO del gigante de Redmond.
La vulnerabilidad de ejecución remota de código recientemente descubierta (CVE-2017-7494) afecta todos las versiones de Samba a partir de la 3.5.0 (lanzada el primero de marzo del 2010).
“Todas las versiones de Samba desde la 3.5.0 hacia adelante son vulnerables a una ejecución de código remota, permitiéndole a un infiltrado malicioso subir una librería compartida y hacer que el servido la cargue y la ejecute”, afirmaron los representantes de Samba el miércoles.
De acuerdo a “Shodan Computer Search Engine” hay más de 485.000 máquinas con Samba instalado y el puerto 445 abierto y, de acuerdo a los investigadores de Rapid7, más de 10.000 de estas ejecutan versiones vulnerables de Samba y más de 90.000 usan versiones muy antiguas que ya no tienen soporte.
Desde que Samba es el protocolo SMB implementado en los sistemas provenientes de Linux y Unix, varios expertos han dicho que es “una versión Linux de EternalBlue” usado por el muy conocido últimamente ransomware “WannaCry”… ¿O debería decir SambaCry?
Tomando en cuenta el número de sistemas vulnerables y lo fácilmente que esta vulnerabilidad puede ser explotada a gran escala con capacidades más que factibles. Las redes domésticas con medios de almacenamiento conectados a la red (NAS) podrían también ser vulnerables frente a esta falla.
La falla residía en la forma en la que Samba manejaba las librerías compartidas. Un atacante remoto podría usar este módulo arbitrario para cargar la vulnerabilidad (Codigo POC) para subir una librería compartida con permisos de escritura y causar que el servidor cargue y ejecute código malicioso.
La vulnerabilidad es alarmantemente fácil de explotar, basta con una línea de código para ejecutar el virus en uno de los sistemas afectados.
simple.create_pipe("/path/to/target.so")
Sin embargo, el exploit de Samba ya ha sido portado a un metasploit, un marco de pruebas de penetración comprobó lo fácil que puede ser para los hackers aprovechar esta falla.
Los desarrolladores de Samba ya han parcheado el error en sus nuevas versiones (4.6.4/4.5.10/4.4.14) y están alertando con urgencia a todos los que estén usando una versión vulnerable de Samba para que instalen el parche lo más pronto posible.
Pero si no puedes actualizar a la última versión de Samba, inmediatamente puedes remendar la vulnerabilidad añadiendo la siguiente línea a tu archivo de configuración
smb.conf:
nt pipe support = no
Una vez añadida, reinicia la red y ya estarás protegido. Este cambio prevendrá a los clientes del acceso completo a algunas máquinas conectadas a la red, como también deshabilita algunas funciones para los sistemas Windows que estén conectados.
Mientras los representantes de las distros de Linux, incluyendo a Red Hat y a Ubuntu, ya han lanzado versiones corregidas para sus usuarios, el riesgo más significativo lo sufren aquellos consumidores con dispositivos NAS que podrían no ser actualizados tan rápido.
Craig Williams de Cisco dijo que el hecho de que la mayoría de dispositivos NAS ejecuten Samba y manejen datos muy valiosos, haga que esta falla tenga potencial para ser el primer ransomware a gran escala en Linux.
Actualización: Los desarrolladores de Samba también han proporcionado parches para las versiones más antiguas y no soportadas de Samba.
Mientras tanto, Netgear lanzó un aviso de seguridad CVE-2017-7494, diciendo que un gran número de sus enrutadores y modelos de productos NAS se ven afectados por la falla porque utilizan Samba versión 3.5.0 o posterior.
Sin embargo, la compañía actualmente lanzó correcciones de firmware sólo para productos ReadyNAS que ejecutan OS 6.x.
Sign up here with your email
ConversionConversion EmoticonEmoticon