CCN-CERT AV 02/22 Vulnerabilidad en Samba

Cabecera
separador
Vulnerabilidad en Samba

Fecha de publicación: 01/02/2022
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de una vulnerabilidad en Samba.

Se ha hecho pública una vulnerabilidad en Samba, implementación de código abierto del protocolo Server Message Block (SMB) que permite la interconexión de redes Windows, Linux y UNIX, entre otros sistemas operativos. La vulnerabilidad fue descubierta por Orange Tsai  y puede llegar a permitir ejecutar código de forma remota (RCE).

A continuación, se detallan los aspectos conocidos de la vulnerabilidad a día de hoy. La vulnerabilidad ha sido catalogada con el CVE-2021-44142 y existe debido a un error de límite al procesar metadatos cuando se abren archivos en smbd dentro del módulo VFS Samba (vfs_fruit). El módulo vulnerable vfs_fruit está diseñado para mejorar la compatibilidad entre los clientes SMB de Apple y los servidores de archivos Netatalk 3 AFP. Un atacante remoto con la capacidad de escribir en los atributos extendidos del archivo puede desencadenar una escritura fuera de los límites y ejecutar código arbitrario con privilegios de administrador.

Para que la vulnerabilidad sea efectiva, es necesario que el módulo vfs_fruit esté activado. Para ello se puede lanzar el siguiente comando, el cual, muestra detalles sobre el módulo deseado, incluyendo una descripción, una lista de todos los perfiles y una lista de todos los paquetes proporcionados:

  • $ yum module info vfs_fruit

Para desactivar un módulo es necesario lanzar el comando mostrado a continuación (el comando yum pide confirmación y luego desactiva el módulo con todos sus flujos, quedando estos inactivos. No se elimina ningún contenido instalado):

  • $ yum module disable vfs_fruit

Por último, es necesario recargar la configuración de Samba para que las modificaciones efectuadas surjan efecto:

  • $ smbcontrol all reload-config

Por el momento, la base de datos del NIST no ha registrado la vulnerabilidad, por lo que no se le ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, investigadores de la compañía han calificado esta vulnerabilidad como crítica, con una puntuación de 9.9. Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen esta vulnerabilidad, así como tampoco, se han publicado pruebas de concepto (PoC) de la vulnerabilidad.

Recursos afectados:

  • Todas las versiones de Samba anteriores a 4.13.17.

Cabe destacar, como se ha indicado anteriormente, que para que esta vulnerabilidad sea explotable, es necesario que el módulo vfs_fruit se encuentre activo.

Solución a la vulnerabilidad:

Samba ya ha publicado las actualizaciones pertinentes para solucionar esta vulnerabilidad, por lo que será necesario que los usuarios de versiones vulnerables actualicen lo antes posible a las versiones parcheadas que se muestran  a continuación:

Recomendaciones:

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

En caso de no ser posible aplicar las actualizaciones descritas, el fabricante recomienda eliminar el módulo VFS_fruit de la lista de objetos VFS configurados en Samba. Sin embargo, tal y como señala el equipo de Samba, al cambiar la configuración del módulo VSF fruit toda la información asociada al módulo quedará inaccesible, por lo que dispositivos con macOs no podrán acceder a ella.

Referencias:

Atentamente,

Equipo CCN-CERT

 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT