Cómo arreglar la vulnerabilidad de Sambacry (CVE-2017-7494) en los sistemas Linux

Samba ha sido durante mucho tiempo el estándar para proporcionar servicios compartidos de archivos e impresiones a clientes de Windows en sistemas *NIX. Utilizado por usuarios domésticos, empresas medianas y grandes empresas por igual, se destaca como la solución de referencia en entornos donde coexisten diferentes sistemas operativos.

Como sucede tristemente con herramientas ampliamente utilizadas, la mayoría de las instalaciones de Samba corren el riesgo de un ataque que puede explotar una vulnerabilidad conocida, que no se consideró grave hasta el Quiero llorar El ataque de ransomware llegó a las noticias no hace mucho tiempo.

En este artículo, explicaremos cuál es esta vulnerabilidad de Samba y cómo proteger los sistemas por los que es responsable contra él. Dependiendo de su tipo de instalación (desde repositorios o de la fuente), deberá adoptar un enfoque diferente para hacerlo.

Si actualmente está usando samba en cualquier entorno o conoce a alguien que lo haga, lea leyendo!

La vulnerabilidad

Los sistemas desactualizados y sin parches son vulnerables a una vulnerabilidad de ejecución de código remoto. En términos simples, esto significa que una persona con acceso a una parte escritable puede cargar una pieza de código arbitrario y ejecutarlo con permisos raíz en el servidor.

El problema se describe en el sitio web de Samba como CVE-2017-7494 y se sabe que afecta las versiones de Samba 3.5 (publicado a principios de marzo de 2010) y en adelante. No oficialmente, ha sido nombrado Sambacio Debido a sus similitudes con Quiero llorar: Ambos apuntan al protocolo SMB y son potencialmente desgastables, lo que puede hacer que se propague de un sistema a otro.

Debian, Ubuntu, Centos y Red Hat han tomado medidas rápidas para proteger a sus usuarios y han lanzado parches para sus versiones compatibles. Además, las soluciones de seguridad también se han proporcionado para los no compatibles.

Actualización de samba

Como se mencionó anteriormente, hay dos enfoques a seguir según el método de instalación anterior:

Si instaló samba desde los repositorios de su distribución.

Echemos un vistazo a lo que necesita hacer en este caso:

Arreglar sambacry en Debian

Asegúrese de que APT esté configurado para obtener las últimas actualizaciones de seguridad agregando las siguientes líneas a su lista de fuentes (/etc/apt/fuentes.lista)

Deb http: // Seguridad.debian.Org Stable/Actualizaciones principales deb-src http: // seguridad.debian.org/ estable/ actualizaciones principales 

A continuación, actualice la lista de paquetes disponibles:

# Actualización de aptitud 

Finalmente, asegúrese de que la versión del paquete Samba coincida con la versión donde se ha solucionado la vulnerabilidad (ver CVE-2017-7494):

# Show de aptitud samba 

Arreglar sambacry en Ubuntu

Para comenzar, consulte los nuevos paquetes disponibles y actualice el paquete Samba de la siguiente manera:

$ sudo apt-get actualización $ sudo apt-get install samba 

Las versiones de samba donde la solución para CVE-2017-7494 ya se han aplicado son los siguientes:

• 17.04: Samba 2: 4.5.8+DFSG-0ubuntu0.17.04.2
• dieciséis.10: Samba 2: 4.4.5+DFSG-2ubuntu5.6
• dieciséis.04 LTS: Samba 2: 4.3.11+DFSG-0ubuntu0.dieciséis.04.7
• 14.04 LTS: Samba 2: 4.3.11+DFSG-0ubuntu0.14.04.8

Finalmente, ejecute el siguiente comando para verificar que su cuadro Ubuntu ahora tenga la versión correcta de Samba instalada.

$ sudo apt-cache show samba 

FIJA SAMBACRY en CentOS/RHEL 7

La versión samba parcheada en El 7 es samba-4.4.4-14.EL7_3. Para instalarlo, hacer

# yum makecache fast # yum actualización samba 

Como antes, asegúrese de tener ahora la versión samba parcheada:

# yum información samba 

Las versiones mayores y aún admitidas de CentOS y RHEL también tienen soluciones disponibles. Consulte RHSA-2017-1270 para obtener más información.

Si instaló samba desde la fuente

Nota: El siguiente procedimiento supone que ha construido Samba previamente a partir de la fuente. Se le recomienda encarecidamente que lo pruebe ampliamente en un entorno de prueba antes de implementarlo en un servidor de producción.

Además, asegúrese de hacer una copia de seguridad del SMB.confusión archivo antes de comenzar.

En este caso, también compilaremos y actualizaremos samba desde la fuente. Antes de comenzar, sin embargo, debemos asegurarnos de que todas las dependencias estén instaladas previamente. Tenga en cuenta que esto puede llevar varios minutos.

En Debian y Ubuntu:

# aptitud instalar acl attr autoconf bison construyendo \ Debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \ libacl1-dev Libbaio-Dev Libattr1 -dev libblkid-dev Libbsd-dev \ libcap -dev libcups2 -dev libatls28-DEVEV libjson-perl \ libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \ libpopt-dev libreadline-dev perl perl-modules pkg-config \ python-all-dev python-dev python-dnspython python-crypto xsltproc \ zlib1g -Dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto 

En CentOS 7 o similar:

# yum instalación attr bind-uTils docbook-style-xsl gcc gdb krb5-workstation \ libsemange-python libxslt perl perl-extutils-makemaker \ perl-parse-yapp perl-test-base pkgconfig políticascoreutils-python \ python-crypto-cryutls-devel-base-base libattr-devel keyUtils-libs-devel \ libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel \ pam-devel popt-devel python-devel-devel-devel zlib-devel 

Detener el servicio:

# SystemCTL Stop SMBD 

Descargar y desgastar la fuente (con 4.6.4 Siendo la última versión en el momento de este escrito):

# wget https: // www.samba.org/samba/ftp/samba-latest.alquitrán.Gz # Tar XZF Samba-Latest.alquitrán.GZ # CD SAMBA-4.6.4 

Solo para fines informativos, verifique las opciones de configuración disponibles para la versión actual con.

# ./Configurar -Help 

Puede incluir algunas de las opciones devueltas por el comando anterior si se usaron en la compilación anterior, o puede elegir ir con el valor predeterminado:

# ./Configurar # hacer # hacer instalar 

Finalmente, reinicie el servicio.

# SystemCTL reiniciar SMBD 

y verifique que esté ejecutando la versión actualizada:

# smbstatus --versión 

que debería regresar 4.6.4.

Consideraciones Generales

Si está ejecutando una versión no compatible de una distribución dada y no puede actualizar a una más reciente por alguna razón, es posible que desee tener en cuenta las siguientes sugerencias:

• Si Selinux está habilitado, está protegido!
• Asegúrese de que las acciones de Samba estén montadas con la opción Noexec. Esto evitará la ejecución de binarios que residen en el sistema de archivos montado.

Agregar,

Soporte de tuberías NT = No 

a la sección [global] de su SMB.confusión archivo y reiniciar el servicio. Es posible que desee tener en cuenta que esto "puede deshabilitar alguna funcionalidad en los clientes de Windows", según el proyecto SAMBA.

Importante: Tenga en cuenta que la opción "Soporte de tuberías NT = No"Desactivaría las acciones de los clientes de Windows. Por ejemplo: cuando escribes \\ 10.100.10.2 \ Desde Windows Explorer en un servidor de Samba, obtendría un permiso. Los clientes de Windows tendrían que especificar manualmente la acción como \\ 10.100.10.2 \ share_name Para acceder a la participación.

Resumen

En este artículo, hemos descrito la vulnerabilidad conocida como Sambacry y cómo mitigarlo. Esperamos que pueda usar esta información para proteger los sistemas de los que es responsable.

Si tiene alguna pregunta o comentario sobre este artículo, no dude en usar el formulario a continuación para informarnos.