Vulnerabilidad de ejecución remota en Samba (SambaCry)

Se realizó el hallazgo y confirmación de una vulnerabilidad crítica en Samba, cuya permanencia se calcula de hace 7 años. Se le ha llamado SambaCry

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

Esta vulnerabilidad (CVE-2017-7494) puede permitir la ejecución de código remoto mediante el envío de una librería compartida a un recurso que permita escritura, con tal que el servidor la cargue y ejecute.

Afecta a versiones desde Samba 3.5.0 (Marzo de 2010) y posteriores.

Existen parches para remediar esta vulnerabilidad en el sitio de Samba: https://www.samba.org/samba/ftp/patches/security/samba-4.6.3-4.5.9-4.4.13-CVE-2017-7494.patch. Además existen versiones actualizadas con esta vulnerabilidad corregida (4.6.4, 4.5.10 y 4.4.14).

RedHat, Ubuntu y Slackware ya han publicado parches para sus distribuciones.

Adicionalmente se recomienda modificar la configuración de Samba en el archivo <<smb.conf>> y luego reiniciar el servicio. El parámetro “nt pipe support” se debe deshabilitar:

<<nt pipe support = no>>

Esta vulnerabilidad se encuentra presente en más de 480.000 equipos ejecutando Samba mediante el puerto 445, por lo que se denomina como “la versión Linux de EternalBlue”, utilizado por el ransomware WannaCry.

Es simple de explotar, sólo se requiere agregar una línea de código para ejecutar código malicioso en el sistema vulnerable:

<< simple.create_pipe(“ruta/objetivo.so”) >>

Además ya existe en Metaexploit.

Fuentes:

https://lists.samba.org/archive/samba-announce/2017/000406.html

https://www.samba.org/samba/security/CVE-2017-7494.html