25 may. 2017

Ejecución remota de código en Samba (SambaCry)

Se ha confirmado una grave vulnerabilidad en Samba (todas las versiones superiores a 3.5.0), que podría permitir a un atacante remoto ejecutar código arbitrario desde un compartido en el que se pueda escribir. A esta vulnerabilidad se la ha bautizado SambaCry, por su parecido con la recientemente descubierta en Windows y utilizada en WannaCry.

Samba permite que los sistemas operativos que no sean Windows, como GNU / Linux o Mac OS X, compartan carpetas compartidas de red, archivos e impresoras con el sistema operativo Windows.

Esta vulnerabilidad permite ejecución remota de código (RCE), identificada como CVE-2017-7494, tiene más de 7 años de antiguedad y afecta a todas las versiones de Samba 3.5.0 (y superiores), que se publicó el 1 de marzo de 2010.
El problema puede permitir a un cliente malicioso subir una librería compartida a un compartido que permita la escritura y posteriormente hacer que el servidor la cargue y la ejecute.

Según Shodan hay más de 485.000 computadoras con Samba y con el puerto 445 expuesto a Internet, y según los investigadores de Rapid7, hay más de 104.000 computadoras expuestas a Internet que parecían estar ejecutando versiones vulnerables de Samba: De estas, 92.000 están ejecutando versiones no soportadas de Samba.

El exploit de Samba ya ha sido portado a Metasploit y permite a los investigadores (y delincuentes) explotar esta falla fácilmente.
Se han publicado parches para solucionar esta vulnerabilidad. Se han publicado las versiones Samba 4.6.4, 4.5.10 y 4.4.14 que corrigen los problemas.

Como contramedida el equipo de Samba recomienda añadir este parámetro a la sección Global de smb:
"nt pipe support = no" 
Y reiniciar smbd.

Más Información

Fuente: Hispasec y HackerNews

1 comentario:

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!