Resumen:
Una vulnerabilidad de severidad crítica en el kernel de Linux, expone a los servidores SMB a la ejecución remota de código con los más altos privilegios.
El fallo únicamente afecta a los servidores cuyo ksmbd se encuentra habilitado.
El KSMBD, es un servidor del kernel de Linux que utiliza el protocolo SMB3 para compartir archivos a través de la red en el espacio del kernel.
La vulnerabilidad, reside en el procesamiento de los comandos SMB2_TREE_DISCONNECT y se debe a la falta de validación de un objeto en las operaciones sobre el mismo.
De acuerdo con los investigadores, el problema permitiría a los atacantes remotos no autenticados ejecutar código arbitrario en las instancias vulnerables.
Es preciso destacar que, el error se detectó a mitades de julio por los investigadores de Thales Group, pero no se hizo público hasta hace apenas unos días.
Además, el fallo no afecta a los servidores SMB que ejecutan Samba, no obstante, su explotación no requiere ningún tipo de autenticación en los demás sistemas que hagan uso del ksmbd.
Según los investigadores de Wiz_IO, todos los sistemas que tengan habilitado el ksmbd (excepto quienes utilicen Samba) son vulnerables al acceso de lectura que podría filtrar la memoria del servidor.
Este tipo de vulnerabilidad se clasifica como un fallo "use-after-free", de acuerdo con el registro de errores de Linux.
Por su parte, los analistas de Kaspersky definen el problema como una vulnerabilidad relacionada con el uso incorrecto de la memoria dinámica durante el funcionamiento del programa.
Esto debido a que si después de liberar una posición en la memoria el programa no borra el puntero de esa memoria, un atacante puede utilizar el error para piratear el programa entero.
Una vez mencionado lo anterior y con el objetivo de mitigar cualquier siniestro, se le insta a todos los administradores a actualizar sus servidores a la última versión del kernel de Linux tan pronto como les sea posible.
Recomendaciones:
Se le insta a todos los administradores que tengan habilitado el ksmbd que actualicen sus sistemas a la versión 5.15.61 del kernel de Linux, o a versiones posteriores.
Prácticas básicas para mitigar cualquier ataque de ciberseguridad
Mantener los dispositivos actualizados
Instalar los últimos parches disponibles
Activar la autenticación multifactor
Activar las reglas de firewall
Guardar copias de seguridad
Referencias:
https://securityaffairs.co/wordpress/140013/hacking/critical-linux-kernel-vulnerability.html
https://www.zdnet.com/article/patch-now-serious-linux-kernel-security-hole-uncovered/
https://www.bankinfosecurity.com/linux-critical-kernel-level-bug-affects-smb-servers-a-20804
SÍGUENOS