Upozorňujeme na kritickou zranitelnost služby Samba, open-source implementace SMB protokolu v systémech Linux. Zranitelnost CVE-2021-44142 umožňuje vzdálené spuštění kódu bez autentizace na cílovém systému s root oprávněním a byla na škále závažnosti CVSSv3 ohodnocena 9.9/10.
Zranitelné jsou všechny verze Samba před 4.13.17 a nižší, které používají modul "vfs_fruit" sloužící ke kompatibilitě se systémy MacOS a který je v základní konfiguraci spuštěný. Službu využívají nejen Linuxové distribuce a systémy MacOS, ale též např. síťové disky, tiskárny a IoT zařízení.
Pro verze 4.13.17, 4.14.12 and 4.15.5 byly vydány bezpečností aktualizace, všem správcům těchto systémů doporučujeme jejich bezodkladnou instalaci. Pokud aktualizace není z provozních důvodů možná, lze též zranitelnost mitigovat odebráním modulu vfs_fruit, který ale omezí funkčnost pro MacOS.
Prioritní aktualizaci doporučujeme zejména v systémech, které jsou přímo dostupné z internetu, dle veřejně dostupných zdrojů se v ČR jedná o cca 1500 systémů. Zranitelnost ovšem představuje riziko i ve vnitřní síti, neboť může při získání prvotního neprivilegovaného přístupu poskytnout útočníkům snadnou cestu k eskalaci oprávnění, šíření malwaru v síti a laterálnímu pohybu.
V současné době není evidováno plošné zneužívání zranitelnosti, ani veřejný proof-of-concept. S ohledem na závažnost zranitelnosti lze ale předpokládat, že se veřejně dostupný kód brzy objeví a útočníci začlení tuto zranitelnost do svých postupů.
Bližší informace ke zranitelnosti a postupu aktualizace naleznete v bezpečnostním upozornění na webu Samba.org: https://www.samba.org/samba/security/CVE-2021-44142.html
Odkazy:
- https://www.trendmicro.com/en_us/research/22/b/the-samba-vulnerability-what-is-cve-2021-44142-and-how-to-fix-it.html?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0222_SambaVulnerability
- https://www.zerodayinitiative.com/blog/2022/2/1/cve-2021-44142-details-on-a-samba-code-execution-bug-demonstrated-at-pwn2own-austin
- https://thehackernews.com/2022/01/new-samba-bug-allows-remote-attackers.html
- https://www.samba.org/samba/docs/current/man-html/vfs_fruit.8.html