Samba ha corregido una vulnerabilidad critica identificada con el CVE-2021-44142, esta ha sido catalogada con un puntaje de 9.9/10 por la CVSS, mediante la explotación de está los atacantes pueden ejecutar código malicioso en servidores vulnerables, esto gracias a la obtención de privilegios de root.

Samba, es una implementación de software mediante la cual se utiliza el protocolo SMB (Server Message Block), conocida por permitir el acceso a diferentes recursos (impresoras y archivos entre otros) esto por medio de una red y utilizado tanto en servidores Windows como en Unix y Linux, la entidad ha realizado la corrección de una vulnerabilidad critica, identificada por el investigador de seguridad Orange Tsai perteneciente al grupo DEVCORE, dicha vulnerabilidad afecta el módulo VFS puntualmente al VFS_Fruit, este módulo se encarga de permitir la comunicación entre Samba y Netatalk (implementación de código abierto que permite que algunos sistemas UNIX cumplan la función de servidores de archivos para equipos Apple), en este caso se observó que se presenta una falla en el análisis de los atributos extendidos realizado por el demonio smbd al abrir un archivo, esta falla permite al atacante ejecutar código malicioso con privilegios de root.

Samba

Según el análisis realizado, dicha falla puede ser explotada por un usuario con permisos de escritura sobre los atributos extendidos del archivo, estos permisos los puede tener desde un usuario tradicional hasta un usuario invitado, a su vez, se identificó que no todos los sistemas se pueden ver afectados, teniendo en cuenta que el problema se genera debido a la configuración predeterminada que maneja el módulo VFS Fruit en los campos fruit:metadata=netatalk o fruit:resource=file, en caso de que se establezcan modificaciones sobre alguno de los campos antes mencionados el servidor ya no será vulnerable.

Descripción CVE 2021-44142

Este ataque de tipo desbordamiento de bufer, afecta a las versiones de Samba anteriores a 4.13.17, incluyendo las distribuciones de Linux Red Hat, SUSE Linux y Ubuntu, por lo que la sugerencia por parte del proveedor es realizar la actualización a la versión antes mencionada o a versiones superiores, estos también plantean la posibilidad de eliminar el módulo Fruit desde la configuración de Samba en smb.conf, aunque indican que con este proceso se podría perder el acceso a los datos almacenados, por lo que la actualización es el mejor camino.

Recomendaciones:

  • Actualizar a versiones iguales o superiores a la 4.13.17.
  • Aplicar los parches publicados por la entidad en cada servidor que pueda ser vulnerable.

Para más información puede consultar las siguientes fuentes asociadas a la noticia: