El famoso servidor opensource de archivos compartidos para sistemas tipo UNIX podría poner en riesgo miles de instalaciones debido a una vulnerabilidad crítica permitiendo que cualquiera se convierta en administrador de dominio.

Samba es un conjunto de herramientas de código abierto ámpliamente utilizado que no sólo facilita la comunicación de los ordenadores Linux y Unix con las redes Windows, sino que también permite alojar un dominio de Active Directory tal como lo haría Windows sin necesidad de servidores Windows. La utilidad de Samba se traduce en que se utiliza ampliamente en los mundos de Linux y Unix, en la empresa, en la nube, e incluso en el hardware de red, como los routers domésticos y los dispositivos NAS.

El fallo fue registrado oficialmente el 25 de mayo por el equipo de SAMBA, y recientemente corregido en la última actualización del 27 de julio (la cual soluciona varias vulenrabilidades además de la mencionada a continuación), nombrada como CVE-2022-32744 esta vulnerabilidad podría ser explotada por cualquier usuario de la red y es de gravedad crítica (CVSS de 8.8 sobre 10).

En resumidas cuentas, la explotación de este fallo permitiría a los atacantes poder manipular el servicio de cambio de contraseña de Samba, conocido como kpasswd, a través de una serie de intentos fallidos de cambio de contraseña hasta que finalmente termina aceptando una solicitud de cambio de contraseña autorizada por los propios atacantes. Es un tipo de ataque conocido como «PYOP», las siglas de «Print Your Own Passport» que traducido a español sería «Imprime Tu Propio Pasaporte», donde tras los repetidos intentos fallidos se solicita al usuario que presente una credencial oficial que demuestre su identidad para poder continuar. Aquí es donde el atacante presenta una credencial que él mismo ha creado y que el sistema da por buena a pesar de ser falsa.

Como siempre venimos recordando casi a diario en este blog, es de vital importancia mantener los sistemas y aplicaciones actualizados y estar al día en cuanto a las distintas vulnerabilidades o fallos de seguridad que pudieran presentar para poder tomar acciones rápidamente y evitar cualquier problema derivado de estos.

Los parches que corrigen esta y otras vulnerabilidades de SAMBA están ya disponibles en su web.

Justo para facilitar esa tarea a los administradores y usuarios, Hispasec tiene a disposición de sus clientes la herramienta SANA (Sistema de Análisis y Notificaciones sobre vulnerabilidades y Actualizaciones de seguridad) en el que los usuarios reciben las alertas personalizadas que afectan al inventario de activos de su organización, con la que podrán tener esta información vital de todos sus activos en un solo lugar, en tiempo real y gestionar la resolución de los mismos.

SANA utiliza distintos formatos de notificación, como mail o mensajería instantanea, un servicio de alertas que trabaja 24 horas al día, 365 días al año.

SANA se divide en 3 sectores. Las alertas, información puntual sobre nuevas vulnerabilidades que puedan afectar a los sistemas del usuario, junto con las medidas preventivas y/o parches para subsanarlas.

Más información:

https://www.samba.org/samba/history/security.html
https://www.samba.org/samba/security/CVE-2022-32744.html
https://bugzilla.samba.org/show_bug.cgi?id=15074
https://bugzilla.samba.org/show_activity.cgi?id=15074
https://news.sophos.com/es-es/2022/08/01/un-fallo-critico-de-samba-podria-permitir-que-cualquiera-se-convirtiera-en-administrador-de-dominio/

Libros recomendados

Arduino para Hackers

Hacking de dispositivos iOS