Analistas descobrem vulnerabilidade no “Samba” que pode afetar mais de 100 mil computadores?

Aalguns dias a noticia que esta circulando na “NET” é a seguinte:

 

Depois do ataque WannaCry, que terá afetado mais de 300 mil computadores em todo o mundo, investigadores de cibersegurança anunciaram na quarta-feira, 24 de Maio de 2017, a descoberta de mais uma vulnerabilidade, num software de uso gratuito, que poderá afetar mais de 100 mil aparelhos em todo o Mundo. Segundo Rebekah Brown, da empresa de cibersegurança Rapid7, ainda não há sinais de ataques com recurso à vulnerabilidade descoberta, embora seja “muito, muito fácil explorar” o “buraco” no software Samba. A responsável revelou que contabilizaram mais de 100 mil computadores com versões vulneráveis do referido software gratuito, mas que é provável que haja “muitos mais”. Alguns poderão pertencer a organizações e empresas, mas a maioria serão computadores domésticos.

A maioria dos computadores está a correr versões antigas do software que não podem ser emendadas

Acrescentou a investigadora. A vulnerabilidade encontrada pode ser utilizada para criar um “worm” semelhante ao que permitiu que o WannaCry se espalhasse tão depressa. Os investigadores da Rapid7 demoraram apenas 15 minutos para desenvolver um programa malicioso que tira proveito da referida vulnerabilidade.

O que ocorre na verdade.

Essa falha não é de agora ela já tem algum tempo, na verdade a 7 anos, ela permite a execução remota de um código malicioso que afeta todas as versões do software Samba à partir da versão 3.5.0, que foi lançada em março de 2010. Isso inclui também as versões atuais 4.4.x, 4.5.x e 4.6.x.

Para ser explorada remotamente, o servidor precisa estar com a porta 445 disponível para internet com permissão de gravação nos diretórios. Pesquisas identificaram mais de 485.000 computadores com o serviço disponível na internet. Ainda que a vulnerabilidade não possa ser comparada com a falha de SMB explorada pelo WannaCry, os riscos existem, e existem outros cenários de ataque potenciais que não exigem que o compartilhamento seja exposto na Internet. Uma mensagem de spam malicioso que comprometeu com êxito um único computador em uma rede corporativa, por exemplo, poderia usar a falha do Samba para se espalhar de forma viral para outros computadores. Dada a facilidade de explorar a vulnerabilidade, ela poderia rapidamente infectar um grande número de computadores. Pesquisadores disseram que a vulnerabilidade também poderia abrir redes domésticas com dispositivos de armazenamento conectados à rede para ataques.

No ultimo dia 24 de maio de 2017 a equipe do Samba.org disponibilizou um patch de correção para a vulnerabilidade que foi publicada na CVE-2017-7494(Commom Vulnerabilities and Exposures) explicando o porque ocorre essa falha, onde ocorre e como se proteger.

CVE-2017-7494
====================================================================
== Subject:     Remote code execution from a writable share.
==
== CVE ID#:     CVE-2017-7494
==
== Versions:    All versions of Samba from 3.5.0 onwards.
==
== Summary:     Malicious clients can upload and cause the smbd server
==              to execute a shared library from a writable share.
==
====================================================================

===========
Description
===========

All versions of Samba from 3.5.0 onwards are vulnerable to a remote
code execution vulnerability, allowing a malicious client to upload a
shared library to a writable share, and then cause the server to load
and execute it.

==================
Patch Availability
==================

A patch addressing this defect has been posted to

  http://www.samba.org/samba/security/

Additionally, Samba 4.6.4, 4.5.10 and 4.4.14 have been issued as
security releases to correct the defect. Patches against older Samba
versions are available at http://samba.org/samba/patches/. Samba
vendors and administrators running affected versions are advised to
upgrade or apply the patch as soon as possible.

==========
Workaround
==========

Add the parameter:

nt pipe support = no

to the [global] section of your smb.conf and restart smbd. This
prevents clients from accessing any named pipe endpoints. Note this
can disable some expected functionality for Windows clients.

=======
Credits
=======

This problem was found by steelo <knownsteelo@gmail.com>. Volker
Lendecke of SerNet and the Samba Team provided the fix.
Como Se Proteger

A equipe de mantenedores do Samba já corrigiram o problema em suas novas versões 4.6.4 / 4.5.10 / 4.4.14 e recomendam que o patch seja aplicado o mais rapidamente possível.

As organizações que usam o software Samba devem verificar se é possível aplicar o quanto antes a correção em seus sistemas operacionais ou dispositivos que usam o Samba, como storages por exemplo. Aqueles que não conseguem corrigir imediatamente, podem contornar a vulnerabilidade adicionando a linha no arquivo smb.conf:

nt pipe support = no

Uma vez adicionado, reinicie o daemon SMB da rede (smbd) e pronto. Importante: essa alteração impedirá que os clientes acessem totalmente algumas máquinas de rede, bem como desativar algumas funções esperadas para sistemas Windows conectados.

O Samba é um “software servidor” para Linux que permite o compartilhamento de recursos em redes formadas por computadores, incluindo o sistema operacional Windows. Dessa forma é possível usar o Linux como servidor de arquivos, servidor de impressão, entre outros, como se a rede utilizasse servidores Windows. É amplamente usado em redes corporativas, principalmente em órgãos públicos no Brasil.

Fontes consultadas: ARS Techinica / Samba.org

Compartilhe essa Informação