Desde hace mucho tiempo, Samba ha sido el estándar para proveer unidades compartidas y servicios de impresión a clientes Windows desde Linux. Esta solución es utilizada tanto por usuarios hogareños, pequeñas empresas, y compañías de gran tamaño. Sin embargo, los usuarios de Samba no están exentos de la necesidad de mantenerse alertas por amenazas de seguridad. En este post y en el próximo mostraremos cómo protegernos contra Sambacry. Este problema fue descubierto hace un par de semanas y documentada en CVE-2017-7494. Las versiones de Samba desde la 3.5 inclusive son vulnerables al mismo.
Protegernos contra Sambacry: descripción de la vulnerabilidad
Sambacry recibió su nombre a partir del conocido ataque Wannacry. La razón es que ambos atacan el protocolo SMB y pueden llegar a enconderse dentro de un gusano. Como consecuencia, pueden transmitirse fácilmente de un sistema afectado a otro.
En particular, Sambacry consiste en una vulnerabilidad que permite ejecutar código de manera remota. Si un usuario posee acceso de escritura en una unidad compartida puede colocar un archivo binario cualquiera en la misma y ejecutar su código malicioso.
Consideraciones generales
Se recomienda tomar las siguientes precauciones mientras se evalúa la actualización de Samba.
1) Para empezar, si SELinux está habilitado en el servidor Samba, ¡estamos protegidos! Por defecto, SELinux impide que se pueda acceder a una unidad compartida a menos que se haya seteado el contexto adecuado.
2) A continuación, cualquier unidad compartida debe ser montada con la opción noexec. Esto impedirá que se ejecuten archivos binarios que residan en dicha unidad.
3) Finalmente, debemos agregar la siguiente línea
nt pipe support = no
dentro de la sección [global] del archivo smb.conf. Este último punto ocasionará que los clientes Windows tengan que indicar la ruta completa a la unidad compartida en vez de acceder al servidor y visualizar la lista si hay más de una.
Luego tendremos que reiniciar el servicio de Samba para aplicar los cambios.
En el próximo post compartiremos cómo actualizar Samba para aumentar la seguridad de nuestro servidor.