Samba e as "vulnerabilidades" encontradas

A um tempo atrás, escrevi um artigo em um site sobre a vulnerabilidade que foi encontrada no Samba, e eu gostaria de publicar aqui com a galera do VOL.

[ Hits: 7.074 ]

Por: Joabe G.Q. Kachorroski em 01/07/2017 | Blog: http://commitlinux.com.br/


O que circulou na "NET" a respeito da Vul encontrada



A alguns dias, a notícia que está circulando na "NET" é a seguinte:

"Depois do ataque WannaCry, que terá afetado mais de 300 mil computadores em todo o mundo, investigadores de cibersegurança anunciaram na quarta-feira, 24 de Maio de 2017, a descoberta de mais uma vulnerabilidade, num software de uso gratuito, que poderá afetar mais de 100 mil aparelhos em todo o mundo.

Segundo Rebekah Brown, da empresa de cibersegurança Rapid7, ainda não há sinais de ataques com recurso à vulnerabilidade descoberta, embora seja "muito, muito fácil explorar" o "buraco" no software Samba."
A responsável revelou que contabilizaram mais de 100 mil computadores com versões vulneráveis do referido software gratuito, mas que é provável que haja "muitos mais". Alguns poderão pertencer a organizações e empresas, mas a maioria serão computadores domésticos.

A maioria dos computadores está a correr versões antigas do software, que não podem ser emendadas, acrescentou a investigadora.

A vulnerabilidade encontrada pode ser utilizada para criar um "worm" semelhante ao que permitiu que o WannaCry se espalhasse tão depressa. Os investigadores da Rapid7 demoraram apenas 15 minutos para desenvolver um programa malicioso que tira proveito da referida vulnerabilidade.

O que ocorre na verdade

Essa falha não é de agora, ela já tem algum tempo, na verdade a 7 anos, ela permite a execução remota de um código malicioso que afeta todas as versões do software Samba à partir da versão 3.5.0, que foi lançada em março de 2010. Isso inclui também as versões atuais 4.4.x, 4.5.x e 4.6.x.

Para ser explorada remotamente, o servidor precisa estar com a porta 445 disponível para internet com permissão de gravação nos diretórios.

Pesquisas identificaram mais de 485.000 computadores com o serviço disponível na internet, ainda que a vulnerabilidade não possa ser comparada com a falha de SMB explorada pelo WannaCry, os riscos existem.

E existem outros cenários de ataque potenciais que não exigem que o compartilhamento seja exposto na Internet.

Uma mensagem de spam malicioso que comprometeu com êxito um único computador em uma rede corporativa, por exemplo, poderia usar a falha do Samba para se espalhar de forma viral para outros computadores.

Dada a facilidade de explorar a vulnerabilidade, ela poderia rapidamente infectar um grande número de computadores.

Pesquisadores disseram que a vulnerabilidade também poderia abrir redes domésticas com dispositivos de armazenamento conectados à rede para ataques.
Linux: Samba e as "Vulnerabilidades" encontradas.
No último dia 24 de maio de 2017 a equipe do Samba.org disponibilizou um patch de correção para a vulnerabilidade que foi publicada na CVE-2017-7494 (Commom Vulnerabilities and Exposures) explicando o porque ocorre essa falha, onde ocorre, e como se proteger.

    Próxima página

Páginas do artigo
   1. O que circulou na "NET" a respeito da Vul encontrada
   2. Como se proteger
Outros artigos deste autor

Quad9 - O que é e como usar

Leitura recomendada

Samba - Instalação e configuração descomplicada

Instalando um PDC Samba no Debian

Slackware 13 com Samba PDC completo

Samba 4 - Compartilhamento de Arquivos

Permissões do Samba usando chmod

  
Comentários
[1] Comentário enviado por removido em 02/07/2017 - 03:53h

Houve notícias de algo que fizeram explorando a falha?

[2] Comentário enviado por removido em 02/07/2017 - 18:01h

1- Por que as pessoas não atualiza o sistema no geral?

2-

Segundo Rebekah Brown, da empresa de cibersegurança Rapid7, ainda não há sinais de ataques com recurso à vulnerabilidade descoberta , embora seja "muito, muito fácil explorar" o "buraco" no software Samba."

A vulnerabilidade encontrada pode ser utilizada para criar um "worm" semelhante ao que permitiu que o WannaCry se espalhasse tão depressa. Os investigadores da Rapid7 demoraram apenas 15 minutos para desenvolver um programa malicioso que tira proveito da referida vulnerabilidade.

..............................................

Tudo muito vago sem algo concreto. Parece aquela velha historia de empresas querendo vender seu produtos.

https://www.rapid7.com/products/


http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=samba


Release

https://www.samba.org/

https://www.samba.org/samba/history/


3- Para ser explorada remotamente, o servidor precisa estar com a porta 445 disponível para internet com permissão de gravação nos diretórios.

Acho que ate mesmo no Ubuntu pelo histórico de falta de segurança a porta 445 não fica disponível para internet.

a) Qual o protocolo usado na porta 445? O artigo não fala.
b) Qual o tipo de permissão de gravação nos diretórios? O artigo também não fala.


4- Uma mensagem de spam malicioso que comprometeu com êxito um único computador em uma rede corporativa, por exemplo, poderia usar a falha do Samba para se espalhar de forma viral para outros computadores.

Dada a facilidade de explorar a vulnerabilidade, ela poderia rapidamente infectar um grande número de computadores.

..............................................

O servidor de domínio e os clientes de email da rede corporativa não possui um filtro de anti-spam e um IDS ou uma politica de segurança?

Tudo muito vago sem algo concreto o artigo parece que foi feito para o AD do Rwindows Server.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts