Importante Vulnerabilità su Servizi Samba 

 

Proto: N051117.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di importanti vulnerabilità presenti all’interno di Samba, nota suite applicativa SMB per sistemi Linux largamente utilizzata per la realizzazioni di condivisioni di rete compatibili con servizi Microsoft. La criticità è stata confermata dal Manutentore ed è nota con l’identificativo CVE-2017-14746.

A causa di lacune nella gestione della memoria dei messaggi SMBv1, attaccanti di rete non autenticati in grado di interagire con il software vulnerabile sono in grado di causare gravi disservizi e, nel caso peggiore, compromettere gli host vittima eseguendo eseguire codice arbitrario al loro interno.

Tale criticità affligge tutte le versioni di Samba a partire da 4.0.0 sino alle versioni 4.7.3, 4.6.11 e 4.5.15 le quali risolvono la problematica di sicurezza.

Benché non siano attualmente noti strumenti di attacco atti allo sfruttamento della vulnerabilità, la disponibilità di codice sorgente del software, di patch relative alla risoluzione della problematica e visto l’interesse recentemente manifestato da attori malevoli nello sfruttamento di questa tipologia di criticità su sistemi Linux (rif. Early Warning N100517 e N030617), esiste il rischio del possibile utilizzo di tale vulnerabilità ai fini di attacchi informatici

Pertanto, qualora versioni di Samba vulnerabili fossero in uso presso la Vostra Organizzazione, Yoroi consiglia di pianificare l’applicazione delle patch di sicurezza messe a disposizione dal Manutentore e dai Produttori di sistemi operativi Linux-based  (e.g. Red-Hat, Debian, Fedora ).

Qualora non fosse possibile installare gli opportuni aggiornamenti, Yoroi suggerisce di valutare la disabilitazione del protocollo SMBv1 sui sistemi afflitti: per fare ciò occorre inserire il parametro “server min protocol = SMB2”  all’interno di della sezione “[global]” del file di configurazione “smb.conf” di sistema.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index