Dlaczego warto zaktualizować platformę udostępniania plików, Sambę, już teraz

Samba wprowadziła aktualizacje zabezpieczeń dotyczące luk w zabezpieczeniach o dużej wadze, które mogą umożliwić cyberprzestępcy przejęcie kontroli nad systemami, na których działają wersje Samby, których dotyczy problem.

Krytyczne luki CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 i CVE-2022-45141 zostały załatane w wersjach 4.17.4, 4.16.8 i 4.15.13. Wszystkie poprzednie wersje Samby są uważane za podatne na ataki. Dlaczego więc aktualizacja Samby jest dla Ciebie ważna?

Co to jest Samba?

Samba to darmowy pakiet oprogramowania typu open source, który oferuje szybkie i stabilne usługi związane z plikami i drukowaniem. Możliwa jest integracja narzędzia do udostępniania plików z domeną Microsoft Windows Server Domain jako członek domeny lub jako kontroler domeny (DC).

Samba to reimplementacja słynnego protokołu SMB. Samba oferuje administratorom sieci elastyczność w zakresie instalacji, konfiguracji i wyboru systemów.

Wszystkie wersje Samby 4 i nowsze obsługują domeny Active Directory (AD) i Microsoft NT. Narzędzie współdziałania systemu Windows jest dostępne dla systemów Unix, Linux i macOS.

Jakie luki w zabezpieczeniach wykryto w Sambie?

Aktualizacja całego oprogramowania, w tym systemu operacyjnego, jest zawsze ważna. To dlatego, że oprócz ulepszeń wydajności aktualizuje luki w zabezpieczeniach oprogramowania. Dlaczego więc ważne jest, aby zaktualizować Sambę już teraz? Aby właściwie to zrozumieć, musimy dokładniej zbadać luki w oprogramowaniu.

1. CVE-2022-38023

CVE-2022-38023 z wynikiem CVSS 8,1 to luka w zabezpieczeniach związana z bezpiecznym kanałem RC4/HMAC-MD5 NetLogon. Kerberos wykorzystuje słabą kryptografię RC4-HMAC. Podobnie tryb RC4 w NETLOGON Secure Channel jest również podatny na ataki, ponieważ są to te same szyfry. Dotyczy to wszystkich wersji Samby.

Problem leży w bezpiecznej sumie kontrolnej, która jest obliczana jako HMAC-MD5(MD5(DANE)(KLUCZ). Jeśli osoba atakująca zna zwykły tekst, może utworzyć różne wybrane przez siebie dane przy użyciu tej samej sumy kontrolnej MD5 i zastąpić ją w danych strumień.

Aby temu zaradzić, szyfr musi być wyłączony w Sambie. W łatce wydanej dla tej luki konfiguracje zostały domyślnie ustawione na:

reject md5 clients = yes reject md5 servers = yes

Dobrą wiadomością jest to, że ten szyfr nie jest używany przez większość nowoczesnych serwerów, takich jak Windows 7 i nowsze. Jednak NetApp ONTAP nadal używa RC4.

2. CVE-2022-37966

Osoba atakująca, której uda się wykorzystać lukę CVE-2022-37966, może uzyskać uprawnienia administratora. Wynik CVSS dla tej luki wynosi 8,1. Słabość leży w zewnętrznym systemie uwierzytelniania, Kerberos, używanym w usłudze Active Directory (AD). Kerberos wydaje klucz sesji, który jest zaszyfrowany i znany tylko klientowi i serwerowi.

Kerberos RC4-HMAC to słaby szyfr. Jeśli zostanie wykorzystany podobnie jak CVE-2022-38023, ochrona HMAC może zostać ominięta, nawet jeśli atakujący nie zna klucza.

Aby skutecznie wykorzystać tę lukę, osoba atakująca musi zebrać informacje specyficzne dla środowiska atakowanego systemu.

3. CVE-2022-37967

Ta luka umożliwia uwierzytelnionemu atakującemu wykorzystanie luk w protokole kryptograficznym w Windows Kerberos. Jeśli cyberprzestępcy uda się przejąć kontrolę nad usługą, która może być delegowana, może zmienić PAC protokołu Kerberos, aby uzyskać uprawnienia administratora. CVE-2022-37967 ma wynik 7,2 CVSS.

4. CVE-2022-45141

Problem tkwi w błędzie kodowania w wersjach Heimdal. Kerberos wystawia bilet do serwera docelowego przy użyciu klucza znanego tylko serwerowi, który jest zwracany klientowi w TGS-REP.

Z powodu błędu w kodzie w Heimdal, jeśli zamiast klienta jest haker, otrzyma on możliwość wybrania rodzaju szyfrowania i uzyskania biletu zaszyfrowanego podatnym na ataki szyfrem RC4-HMAC, który mógłby później wykorzystać.

Można temu zapobiec, całkowicie usuwając RC4-MAC z serwera. CVE-2022-45141 ma również wynik CVSS 8,1.

Oczywiście załatanie tych luk nie oznacza, że ​​cały system jest teraz bezpieczny, dlatego też zalecamy korzystanie z solidnego pakietu zabezpieczeń.

Szybko stosuj aktualizacje zabezpieczeń

Użytkownicy i administratorzy muszą zapoznać się z zabezpieczeniami Samby i szybko zastosować niezbędne poprawki bezpieczeństwa, aby można było nadal bezpiecznie korzystać z Samby.

Samba to wydajne narzędzie ułatwiające udostępnianie plików. Za pomocą tego narzędzia możesz także skonfigurować folder współdzielony w sieci w dowolnym systemie Linux i udostępniać pliki w wielu systemach operacyjnych w sieci. Tylko upewnij się, że zawsze ją aktualizujesz, abyś mógł cieszyć się optymalną wydajnością i silnym bezpieczeństwem.