Samba es vulnerable a un fallo de ejecución de código remoto que permite a un atacante cargar y ejecutar código en la máquina del usuario
Dependiendo de la habilidad del atacante, puede llevar fácilmente a través de dispositivos vulnerables. El fallo rastreado como CVE-2017-7494, afecta a todas las versiones de Samba de 3.5.0 en adelante, y se soluciono el 24 de mayo cuando el equipo Samba ha lanzado Samba 4.6.4, 4.5.10 y 4.4.14 para reparar el problema.De acuerdo con HD Moore, vicepresidente de Investigación y Desarrollo en Atredis Partners, el tema podría ser explotado a través de una línea de código utilizando un módulo de Metasploit, actualmente en fase de desarrollo. Esto significa que los ataques CVE-desde 2017 hasta 7494 puede ser escrito y se añaden a los escáneres automáticos.
Este es un gran problema debido a que la firma de seguridad cibernética Rapid7 dijo que descubrió más de 104.000 máquinas expuestas a Internet que parecen estar corriendo versiones vulnerables de software de Samba.
Algunos de estas principales distribuciones de Linux, como Red Hat , donde Samba se instala como un servicio predeterminado que se inicia durante el proceso de arranque.
Existe mitigación alternativa para los sistemas de unupgradeable
Los parches están disponibles sólo para las versiones 4.4.x, 4.5.x, 4.6.x. Para los usuarios que no puedan actualizar sus sistemas a Samba 4.4 y superior debido a diversas incompatibilidades o limitaciones del hardware, el equipo de Samba recomienda una solución alternativa al añadir el siguiente parámetro en el archivosmb.conf de Samba y reiniciar el demonio smbd. Parametro a añadir: nt pipe support = no
Este parámetro evita que un atacante abra un "tubo" que le permite subir código malicioso a una instalación de Samba. Esta solución, sin embargo, va a desactivar algunas funciones Samba al interactuar con ordenadores Windows.
Rapid7 también advierte que muchos sistemas de copia de seguridad de empresas utilizan Samba para enviar datos al NAS u otros tipos de servidores de copia de seguridad.
"Un ataque directo o un gusano harían que esas copias de seguridad casi inútil, por lo que si parcheo no se puede hacer inmediatamente, se recomienda crear una copia sin conexión de datos críticos tan pronto como sea posible", escribe de Rapid7 Jen Ellis.
