Samba corrige una grave vulnerabilidad que permite la ejecución de código remota

Tras varios días en los que las noticias sobre ciberseguridad han estado prácticamente monopolizadas por el ataque de WannaCryptor y otros malware que aprovechan los exploits de la NSA filtrados por el grupo The Shadow Brokers el mes pasado, es hora de volver a analizar otras amenazas y vulnerabilidades que también requieren de nuestra atención.

Problemas en Samba

No obstante lo dicho en el párrafo anterior, el tema de hoy también tiene cierta relación con el incidente WannaCryptor, puesto que se trata de un agujero de seguridad en el software de código abierto Samba, utilizado por una gran cantidad de sistemas en todo el mundo para acceder a archivos y recursos compartidos tanto en una red local como a través de Internet.

Samba está implementado en muchos sistemas operativos actuales como Windows, Linux, UNIX u OpenVMS, entre otros y se trata de una reimplementación del protocolo de red SMB, permitiendo a aquellos sistemas que no sean Windows compartir recursos a través de una red con el sistema operativo de Microsoft.

Con un nivel de implementación bastante elevado entre empresas y algunos usuarios, no es de extrañar que el anuncio publicado ayer informando de la existencia de una vulnerabilidad en Samba durante más de 7 años haya causado bastante revuelo. Las versiones de Samba que se ven afectadas son todas las publicadas desde la 3.5.0 (que se lanzó el 1 de marzo de 2010) por lo que los sistemas afectados no son pocos.

Gravedad de esta vulnerabilidad

Algunos analistas han apuntado a la posibilidad de que esta vulnerabilidad sea aprovechada para lanzar ataques indiscriminados a todos los sistemas vulnerables, similar a lo sucedido con WannaCryptor. De momento no se han observado indicios que nos hagan temer un ataque similar afectando también a otros sistemas como Linux, pero esta vulnerabilidad tiene el potencial suficiente para hacerlo debido a la facilidad que tiene un atacante para explotarla.

Teniendo en cuenta que, a día de hoy, existen varias decenas de miles de sistemas expuestos a Internet y corriendo una versión vulnerable de Samba, según informan desde Rapid 7, es importante que estos sistemas apliquen el parche lo antes posible. De lo contrario, un atacante podría conectarse a un sistema vulnerable, subir una librería compartida maliciosa a un recurso compartido con permisos de escritura y, posteriormente, hacer que el sistema la cargue y ejecute.

Al tratarse de una implementación del protocolo SMB, uno de los indicadores que pueden indicar que se están realizando posibles ataques es monitorizar el tráficio malicioso en el puerto 445. No obstante, debido al revuelo causado por WannaCryptor y otras variantes, es difícil discernir quien es el causante de esta actividad.

También debemos tener en cuenta que ya ha aparecido al menos un módulo para Metasploit que simplifica la ejecución de los ataques a los sistemas vulnerables a través de este framework.

Soluciones

Ante esta situación y para prevenir posibles ataques, lo mejor es actualizar cuando antes las versiones vulnerables aplicando el parche publicado. También se puede instalar directamente alguna de las nuevas versiones publicadas en el repositorio oficial de Samba y que no son vulnerables.

Si, por algún motivo, no se puede proceder a parchear o actualizar la versión de Samba, se recomienda encarecidamente añadir la siguiente línea en la sección [global] del fichero smb.conf y reiniciar el servicio smb:

«nt pipe support = no»

Con este cambio impediremos que los sistemas cliente puedan acceder a algunas de las máquinas conectadas a la red y deshabilitaremos algunas de las funcionalidades en los sistemas Windows conectados.

Distribuciones de Linux como Ubuntu o Red Hat ya han actualizado a versiones parcheadas de Samba pero hay otros sistemas como los sistemas de almacenamiento en red (NAS) que utilizan muchos usuarios y empresas que pueden tardar más en actualizarse, si es que alguna vez llegan a hacerlo.

Conclusión

Si durante los últimos días el foco de atención estaba en los equipos con Windows vulnerables, ahora también otros sistemas deben proceder a actualizar lo antes posible para evitar un ataque similar al vivido con WannaCryptor. El parche ya está publicado y las actualizaciones han comenzado, ahora solo queda por ver si los usuarios hacemos bien nuestro trabajo y somos capaces de evitar que se vuelva a producir un incidente de gran magnitud.

Josep Albors

Jaff ransomware y su relación con un importante mercado del cibercrimen