Vulnerabilidades Críticas en Samba: Un Análisis Detallado y Estrategias de Mitigación

By /

Samba es un software de código abierto ampliamente utilizado, que esencialmente constituye una reimplementación del protocolo de red SMB (Server Message Block). Este protocolo se ejecuta en la mayoría de los sistemas operativos modernos, incluyendo Windows, Linux, UNIX, IBM System 390 y OpenVMS. Su función principal es permitir que sistemas operativos que no son Windows, como GNU/Linux o Mac OS X, compartan carpetas, archivos e impresoras de red con el sistema operativo Windows, facilitando la interoperabilidad.

Sin embargo, la complejidad de Samba y su papel central en la comunicación de red lo han convertido en un objetivo frecuente para la explotación de vulnerabilidades. A lo largo de los años, se han descubierto varias fallas críticas que requieren atención inmediata por parte de los administradores de sistemas.

CVE-2017-7494: La Vulnerabilidad SambaCry

En 2017, se descubrió una vulnerabilidad de ejecución de código remoto (RCE) que había estado presente en el software de red Samba durante siete años. Esta falla podría permitir a un atacante remoto tomar el control de las máquinas Linux y Unix afectadas.

Alcance y Nomenclatura

La vulnerabilidad, identificada como CVE-2017-7494, fue calificada como el equivalente de WannaCry para Linux, y algunos la denominaron SambaCry. Aunque similar en impacto por afectar al protocolo SMB en sistemas basados en UNIX, su similitud se limita a este aspecto fundamental. Se trata de una vulnerabilidad potencial para los creadores de ransomware.

Superficie de Ataque

Una búsqueda rápida en Shodan, una herramienta de búsqueda para dispositivos conectados a Internet, reveló que, solo en Latinoamérica, existían más de 98.000 hosts con Samba habilitado y accesibles a través de Internet. Sin embargo, no estaba claro cuántos de ellos ejecutaban versiones vulnerables de Samba.

Búsqueda en Shodan mostrando servicios Samba expuestos en Internet en Latinoamérica

Mecanismo de Explotación

La falla reside en la forma en que Samba maneja las bibliotecas compartidas. Un atacante remoto podría usar esta vulnerabilidad para cargar una biblioteca compartida maliciosa en un recurso compartido escribible, y luego hacer que el servidor cargue y ejecute ese código. La explotación es notablemente sencilla, requiriendo solo una línea de código para ejecutar código malicioso en el sistema afectado, por ejemplo:

simple.create_pipe("/path/to/target.so")

La facilidad de explotación se vio agravada cuando el exploit para Samba fue portado a Metasploit, permitiendo a investigadores y atacantes aprovechar esta falla con relativa facilidad.

Versiones Afectadas y Corrección

La vulnerabilidad CVE-2017-7494 afectó a todas las versiones de Samba desde la 3.5.0 en adelante. Se recomendó a los equipos de seguridad y TI tomar medidas inmediatas para protegerse. Samba lanzó correcciones en nuevas versiones de seguridad: 4.6.4, 4.5.10 y 4.4.14. Estos parches impiden que los clientes SMB1 creen enlaces simbólicos en el archivo exportado, mitigando así el riesgo.

CVE-2021-44142: Falla en el Módulo vfs_fruit

En el evento Pwn2Own Austin 2021, la iniciativa Zero Day de Trend Micro (ZDI) reveló una vulnerabilidad de desbordamiento de búfer (OOB) en Samba. Tras una investigación más profunda, ZDI encontró múltiples variantes de la vulnerabilidad y comunicó sus hallazgos a la empresa.

Gravedad y Detalles Técnicos

A pesar de que no se observaron ataques activos explotando esta vulnerabilidad en el momento de su descubrimiento, CVE-2021-44142 recibió una calificación CVSS de 9.9 en sus tres variantes reportadas. Esta brecha de seguridad permite a los atacantes remotos ejecutar código arbitrario como root en todas las instalaciones afectadas que utilizan el módulo vfs_fruit del sistema de archivos virtual (VFS).

La falla específica se encuentra en el análisis de los metadatos de EA (Extended Attributes) en el demonio del servidor smbd al abrir un archivo. Aunque la versión analizada fue smbd 4.9.5, se ha observado que algunos proveedores incorporan esta y otras versiones anteriores del demonio en sus productos. El problema en vfs_fruit existe en la configuración por defecto del módulo VFS de fruit utilizando fruit_metadata=netatalk o fruit_resource=file. Este módulo está habilitado por defecto para la interoperabilidad, especialmente con la implementación de servidor de archivos Netatalk, que atiende a dispositivos Apple utilizando el Protocolo de Archivo de Apple (AFP).

Mitigación y Consideraciones

Samba publicó parches de código fuente para esta y otras vulnerabilidades reveladas. La CVE-2021-44142 afecta a todas las versiones de Samba anteriores a la 4.13.17. Se emitieron comunicados de seguridad para las versiones 4.13.17, 4.14.12 y 4.15.5, aconsejando a los administradores que actualicen de inmediato. Los dispositivos de almacenamiento conectado a la red (NAS) también son susceptibles y se espera que los proveedores lancen sus respectivas actualizaciones. Los parches se publicaron en enero, y se insta a su aplicación lo antes posible.

Como medida temporal, el proveedor también sugirió eliminar el módulo fruit VFS de las líneas de objetos VFS; sin embargo, esta solución alternativa podría afectar gravemente a los sistemas macOS que intenten acceder a la información almacenada en el servidor. Por ello, se aconseja a los administradores que prioricen las pruebas y el despliegue del parche para remediar la vulnerabilidad.

Otras Vulnerabilidades y Aspectos Clave de Seguridad

Vulnerabilidades Antiguas (Pre-3.6.3)

Las versiones de Samba 3.6.3 e inferiores reportaron problemas de seguridad que permitían a usuarios no autorizados obtener acceso de root desde una conexión anónima, explotando la llamada a procedimiento remoto de Samba. Esto subraya la importancia de mantener el software actualizado.

CVE-2020-1472: Zerologon

En 2020, se identificó una prueba de concepto (PoC) para una vulnerabilidad de Netlogon, conocida como Zerologon (CVE-2020-1472), calificada como Crítica. Este fallo permitía a un atacante elevar los privilegios al establecer una conexión de canal seguro Netlogon vulnerable a un controlador de dominio utilizando el protocolo remoto Netlogon (MS-NRPC). Dada la capacidad de Samba de funcionar como un controlador de dominio, esta vulnerabilidad es relevante para sus implementaciones.

Cómo el exploit de la NSA afectó la seguridad del protocolo SMB | Ciberseguridad

Actualizaciones Cruciales en 2022

En 2022, Samba lanzó una serie de actualizaciones cruciales que incluyeron parches de seguridad para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Entre ellas destacan:

  • Ataques de Denegación de Servicio (DoS) en AD DC: El Controlador de Dominio de Directorio Activo (AD DC) de Samba incluye comprobaciones al añadir nombres de directores de servicio (SPN). Sin embargo, un atacante con capacidad de escribir en una cuenta puede explotar esto para realizar un ataque DoS, añadiendo un SPN que coincida con un servicio existente.
  • Falla en el Análisis de Metadatos EA en smbd: Similar a la CVE-2021-44142, otra falla específica reside en el análisis de los metadatos de EA al abrir archivos en smbd. Para su explotación, es necesario acceder como un usuario con permisos de escritura a los atributos extendidos de un archivo. Samba 4.13.17, 4.14.12 y 4.15.4 fueron publicadas como versiones de seguridad para corregir este defecto.
  • Problema en el Servicio kpasswd: Los tickets recibidos por el servicio kpasswd se descifran sin especificar que solo deben probarse las claves propias de ese servicio. Un usuario malintencionado podría aprovechar esto para cambiar la contraseña de la cuenta de administrador y obtener el control total del dominio.
  • Vulnerabilidad de Volcado de Memoria (CVE-2017-12163): Esta vulnerabilidad, corregida en 2017, permitiría a un cliente con permisos de escritura volcar el contenido de la memoria del servidor en un fichero o en una impresora. Esto se debe a una comprobación incorrecta del rango de datos enviados por el cliente, lo que podría llevar al servidor a completar la operación de escritura con datos almacenados en su memoria.

Recomendaciones Generales de Seguridad

Dado el uso estándar de Samba para la interoperabilidad de sistemas a través del protocolo SMB, los administradores deben supervisar rigurosamente las transmisiones de datos compartidos de archivos, impresoras y accesos. El protocolo SMB de Windows, utilizado para servicios remotos, puede ser abusado por atacantes para propagarse a través de la red de una organización, o utilizarse como punto de partida para extenderse a otros sistemas conectados. Trend Micro ha publicado artículos en su Base de Conocimientos que abordan estos problemas de seguridad, destacando la necesidad de una vigilancia constante y la aplicación de mejores prácticas.

tags: #como #crear #vulnerabilidades #para #samba

Publicaciones populares:

  • Descubre los beneficios de la hospitalización pensionada
  • Ver análisis de amenazas en redes
  • Evadir la pensión alimenticia en Chile: ¿Qué dice la ley?
  • Movilidad reducida y asientos de coche
  • causas y síntomas de la DMD