Resumen: Una nueva vulnerabilidad de severidad crítica en la suite de aplicaciones conocida como Samba, podría permitirle a los atacantes llevar a cabo la ejecución remota de código en los servidores vulnerables.
Rastreada como CVE-2021-44142, la vulnerabilidad se trata de un fallo de lectura/escritura fuera de los límites en el módulo VFS vfs_fruit, que se produce al analizar los metadatos de EA del servicio smbd al abrir un archivo.
Samba, la reconocida implementación de código abierto del protocolo de Windows Server Message Block (SMB), dio a conocer hace unos días que el problema afecta a todas las versiones de Samba, anteriores a la 4.13.17.
De igual manera, es preciso destacar que los atacantes que busquen explotar el fallo, pueden hacerlo sin requerir la interacción del usuario, no obstante necesitarían de un acceso de escritura a los atributos de un archivo.
Si bien esta vulnerabilidad no se ha visto explotada en ataques recientes, la misma posee una calificación CVSS de 9.9, que representa una gran brecha de seguridad para los usuarios, ya que los actores de amenaza podrían aprovecharla para causar daños severos en los sistemas.
Dicho esto, el equipo de investigación de Samba, ha publicado una serie de parches y actualizaciones, con la finalidad de mitigar el impacto que CVE-2021-44142 podría tener sobre sus víctimas.
Se le recomienda a todos los administradores que apliquen las actualizaciones correspondientes (4.13.17, 4.14.12 y 4.15.5) lo antes posible. En caso de que esto no sea viable, Samba ha proporcionado otra solución que requiere que se eliminen las líneas 'fruit' de 'vfs objects' en los archivos de configuración de Samba. Sin embargo, esto podría causar que toda la información almacenada sea inaccesible.
Así mismo, el equipo de Trend Micro ha creado dos scripts capaces de verificar la versión de Samba instalada en su dispositivo o de comprobar la configuración del módulo VFS fruit en los sistemas basados en LINUX o UNIX. El primero se trata de un script de Shell con dos opciones de comprobación y el segundo, es un script basado en Python con las mismas funciones.
Opciones de comprobación del script basado en Shell: · Directa - un administrador debe abrir el script en un editor de texto, copiar y pegar los comandos y ejecutarlos. · El archivo puede ser ejecutado directamente.
Finalmente, Trend Micro cuenta con una serie de reglas y filtros de detección para mantener a los usuarios seguros.
Reglas Trend Micro: Trend Micro Cloud One - Seguridad y reglas IPS 1011294 - Vulnerabilidad de ejecución remota de código en Samba AppleDouble (CVE-2021-44142)
Trend Micro TippingPoint y Cloud One - Filtros de seguridad de red 40844 - SMB: Vulnerabilidad de desbordamiento del búfer de Samba vfs_fruit (ZDI-22-244) 40845 - SMB: Política de actualización de atributos extendidos de archivos de Samba vfs_fruit Si desea conocer más información puede visitar el boletín de seguridad proporcionado por el equipo de Trend Micro Research.
Referencias:
|
SÍGUENOS