Samba zaviedla bezpečnostné aktualizácie pre veľmi závažné zraniteľnosti, ktoré môžu kyberzločincom umožniť prevziať kontrolu nad systémami, na ktorých bežia dotknuté verzie Samby.
Kritické chyby zabezpečenia CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 a CVE-2022-45141 boli opravené vo verziách 4.17.4, 4.16.8 a 4.15.13. Všetky predchádzajúce verzie Samby sa považujú za zraniteľné. Prečo je teda pre vás dôležité aktualizovať Sambu?
Čo je Samba?
Samba je bezplatný a open source softvérový balík, ktorý ponúka rýchle a stabilné súborové a tlačové služby. Nástroj na zdieľanie súborov je možné integrovať s doménou servera Microsoft Windows Server, buď ako člen domény, alebo ako radič domény (DC).
Samba je opätovná implementácia známeho protokolu SMB. Samba ponúka správcom siete flexibilitu, pokiaľ ide o nastavenie, konfiguráciu a výber systémov.
Všetky verzie Samby 4 a novšie podporujú domény Active Directory (AD) a Microsoft NT. Nástroj interoperability so systémom Windows je k dispozícii pre systémy Unix, Linux a macOS.
Aké slabé miesta sa našli v Sambe?
To je vždy dôležité aktualizovať celý softvérvrátane operačného systému. Je to preto, že okrem vylepšenia výkonu sa aktualizujú aj chyby zabezpečenia softvéru. Prečo je teda dôležité aktualizovať Sambu práve teraz? Aby sme to správne pochopili, musíme ďalej skúmať zraniteľné miesta v softvéri.
1. CVE-2022-38023
CVE-2022-38023, so skóre 8,1 CVSS, je zraniteľnosť spojená s RC4/HMAC-MD5 NetLogon Secure Channel. Kerberos používa slabú kryptografiu RC4-HMAC. Podobne je zraniteľný aj režim RC4 v zabezpečenom kanáli NETLOGON, pretože ide o rovnaké šifry. Toto ovplyvní všetky verzie Samby.
Problém spočíva v zabezpečenom kontrolnom súčte, ktorý sa vypočíta ako HMAC-MD5(MD5(DATA)(KEY). Ak útočník pozná obyčajný text, mohol by pomocou rovnakého kontrolného súčtu MD5 vytvoriť rôzne údaje podľa vlastného výberu a nahradiť ho v toku údajov.
Aby ste tomu zabránili, musíte v Sambe deaktivovať šifru. V oprave vydanej pre túto chybu zabezpečenia sú konfigurácie predvolene nastavené na:
odmietnuť klientov md5 = ánoodmietnuť md5 servery = ánoDobrou správou je, že túto šifru nepoužíva väčšina moderných serverov, ako napríklad Windows 7 a novší. NetApp ONTAP však stále používa RC4.
2. CVE-2022-37966
Útočník, ktorý úspešne zneužije CVE-2022-37966 mohli získať oprávnenia správcu. Skóre CVSS pre túto zraniteľnosť je 8,1. Slabina spočíva v autentifikačnom systéme tretej strany, Kerberos, ktorý sa používa v Active Directory (AD). Kerberos vydá kľúč relácie, ktorý je zašifrovaný a pozná ho iba klient a server.
Kerberos RC4-HMAC je slabá šifra. Ak je zneužitý podobne ako CVE-2022-38023, ochranu HMAC je možné obísť, aj keď útočník nepozná kľúč.
Na úspešné využitie tejto chyby musí útočník zhromaždiť informácie špecifické pre prostredie cieľového systému.
3. CVE-2022-37967
Táto chyba umožňuje overenému útočníkovi zneužiť zraniteľné miesta kryptografických protokolov v systéme Windows Kerberos. Ak sa kybernetickému útočníkovi podarí získať kontrolu nad službou, ktorá je povolená na delegovanie, môže zmeniť Kerberos PAC, aby získal oprávnenia správcu. CVE-2022-37967 má skóre CVSS 7,2.
4. CVE-2022-45141
Problém spočíva v chybe kódovania vo verziách Heimdal. Kerberos vydá lístok na cieľový server pomocou kľúča, ktorý pozná iba server, ktorý sa vráti klientovi v TGS-REP.
Kvôli chybe v kóde v Heimdal, ak je na mieste klienta hacker, dostane príležitosť vyberte typ šifrovania a získajte lístok zašifrovaný zraniteľnou šifrou RC4-HMAC, ktorú by mohli neskôr zneužívať.
Tomu sa dá zabrániť úplným odstránením RC4-MAC zo servera. CVE-2022-45141 má tiež skóre CVSS 8,1.
Samozrejme, oprava týchto zraniteľností neznamená, že celý váš systém je teraz zabezpečený, a preto odporúčame používate tiež solídny bezpečnostný balík.
Rýchlo použite aktualizácie zabezpečenia
Používatelia a správcovia musia skontrolovať zabezpečenie Samby a rýchlo použiť potrebné bezpečnostné záplaty, aby ste mohli naďalej bezpečne používať Sambu.
Samba je efektívny nástroj, ktorý uľahčuje zdieľanie súborov. Pomocou tohto nástroja môžete tiež nastaviť sieťovo zdieľaný priečinok na akomkoľvek systéme Linux a zdieľať súbory vo viacerých operačných systémoch v sieti. Len sa uistite, že ho vždy aktualizujete, aby ste si mohli užívať optimálny výkon a silné zabezpečenie.
