Fallo crítico de Samba podría poner en peligro dominios y contraseñas.
Primero vamos a explicar brevemente que es Samba:
Samba es un conjunto de herramientas de código abierto muy utilizado que no sólo facilita la comunicación de los ordenadores Linux y Unix con las redes Windows, sino que también permite alojar un dominio de Active Directory al estilo de Windows sin necesidad de servidores Windows.
Samba empezó a funcionar a principios de los 90 gracias al duro trabajo del pionero australiano de código abierto Andrew Tridgell, que descubrió a partir de los principios básicos cómo funcionaba SMB para poder implementar una versión compatible para Unix mientras estaba ocupado con su doctorado en la Universidad Nacional de Australia.
Como se pueden imaginar, la utilidad de Samba significa que se utiliza ampliamente en los mundos de Linux y Unix, incluso en la empresa, en la nube, e incluso en el hardware de red, como los routers domésticos y los dispositivos NAS.
Pues bien, este famoso servidor opensource de archivos compartidos para sistemas tipo UNIX podría poner en riesgo miles de dominios debido a una vulnerabilidad crítica permitiendo que cualquiera se convierta en administrador del mismo.
En resumen, la explotación de este fallo permitiría a los atacantes poder manipular el servicio de cambio de contraseña de Samba, conocido como kpasswd, a través de una serie de intentos fallidos de cambio de contraseña hasta que finalmente termina aceptando una solicitud de cambio de contraseña autorizada por los propios atacantes.
Es un tipo de ataque conocido como «PYOP», las siglas de «Print Your Own Passport» donde tras los repetidos intentos fallidos se solicita al usuario que presente una credencial oficial que demuestre su identidad para poder continuar. Aquí es donde el atacante presenta una credencial que él mismo ha creado y que el sistema da por buena a pesar de ser falsa.
En teoría, el fallo CVE-2022-32744 podría ser explotado por cualquier usuario de la red.
Según el fallo, Los tickets recibidos por el servicio kpasswd serian descifrados sin especificar que sólo se debían probar las claves propias de ese servicio. Configurando el nombre del servidor del ticket con una clave asociada a la propia cuenta, o explotando un fallback en el que se probaban claves conocidas hasta encontrar una adecuada, un atacante podía hacer que el servidor aceptara tickets cifrados con cualquier clave, incluida la tuya.
En TNEcom Canarias recomendamos seguir estos Pasos para prevenir este error:
Las actualizaciones que necesitan son las siguientes:
- Si usan la versión 4.16, actualiza de la 4.16.3 o anterior a la 4.16.4
- Si usan la versión 4.15, actualiza de la 4.15.8 o anterior a la 4.15.9
- Si usan la versión 4.14, actualiza de la 4.14.13 o anterior a la 4.14.14
Si no pueden actualizar, algunos de los errores mencionados anteriormente pueden mitigarse con cambios de configuración, aunque algunos de esos cambios desactivan funcionalidades de las que podría depender tu red, lo que te impediría utilizar esas soluciones particulares.
Por lo tanto, como siempre ¡Actualicen a menudo!
Si utilizan una distribución Linux o BSD que proporciona Samba como un paquete instalable, ya deberían tener (o debería recibir pronto) una actualización a través del gestor de paquetes de tu distribución; para dispositivos de red como NAS, consulten con su proveedor para obtener más detalles.