Kritična napaka Sambe bi lahko vsakomur omogočila, da postane skrbnik domene – popravite jo zdaj!

Samba je široko uporabljan odprtokodni komplet orodij, ki računalnikom Linux in Unix ne le olajša komunikacijo z omrežji Windows, temveč vam omogoča tudi gostovanje domene Active Directory v slogu Windows brez strežnikov Windows.

Ime, če ste se kdaj spraševali, je veselo zveneča in preprosta izpeljava iz SMB, okrajšava za Server Message Block, lastniški protokol za skupno rabo datotek, ki sega daleč v zgodnja osemdeseta leta prejšnjega stoletja.

Vsakdo z dovolj dolgim ​​pomnilnikom se bo spomnil, verjetno brez pretirane naklonjenosti, priklopa računalnikov OS/2 za skupno rabo datotek z uporabo SMB preko NetBIOS.

Samba je začela živeti v zgodnjih devetdesetih letih prejšnjega stoletja po zaslugi trdega dela avstralskega odprtokodnega pionirja Andrewa Tridgella, ki je iz prvih načel ugotovil, kako deluje SMB, tako da je lahko implementiral združljivo različico za Unix, medtem ko je bil zaposlen s svojim doktoratom na Australian National Univerza.

(Mimogrede, Tridge je doktoriral rsync, še eno programsko opremo, ki jo imate verjetno uporabljen v neki preobleki, tudi če se tega ne zavedaš.)

SMB se je spremenil v CIFS, Skupni internetni datotečni sistem, ko ga je leta 1996 objavil Microsoft, in je od takrat ustvaril SMB 2 in SMB 3, ki sta še vedno lastniška omrežna protokola, vendar s specifikacijami, ki so uradno objavljene, tako da se orodjem, kot je Samba, ni več treba zanašati na obratno inženirstvo in ugibanja za zagotavljanje združljivih izvedb.

Kot si lahko predstavljate, uporabnost Sambe pomeni, da se široko uporablja v svetovih Linuxa in Unixa, tudi interno, v oblaku in celo na omrežni strojni opremi, kot so domači usmerjevalniki in naprave NAS.

(NAS je okrajšava za shranjeno omrežje, običajno škatla, polna trdih diskov, ki jo priključite v LAN in se samodejno prikaže kot datotečni strežnik, do katerega lahko dostopajo vsi vaši drugi računalniki.)

Natisnite si potni list!

Samba je bila pravkar posodobljena za odpravo številnih varnostnih ranljivosti, vključno s kritično napako, povezano s ponastavitvijo gesla.

Kot je podrobno opisano v najnovejšem Opombe ob izdaji Sambe, je popravljenih šest hroščev s številko CVE, vključno s temi petimi ...

... skupaj s tem, ki je najresnejši v seriji, kot boste takoj videli iz opisa hrošča:

V teoriji je CVE-2022-32744 napako lahko izkoristi kateri koli uporabnik v omrežju.

Ohlapno povedano, napadalci bi se lahko prepirali s Sambino storitvijo za spreminjanje gesel, znano kot kpasswd, skozi vrsto neuspelih poskusov spremembe gesla ...

… dokler ni končno sprejel zahteve za spremembo gesla ki so ga dovolili napadalci sami.

V slengovskem smislu bi temu lahko rekli a Natisnite si lasten potni list (PYOP), kjer morate dokazati svojo identiteto, vendar lahko to storite tako, da predložite "uradni" dokument, ki ste ga ustvarili sami.

Sveta trojica kibernetske varnosti

Kot piše v poročilu o napaki Samba (naš poudarek):

Vstopnice, ki jih je prejel kpasswd storitve so bile dešifrirane brez navedbe, da je treba poskusiti samo lastne ključe te storitve. Z nastavitvijo imena strežnika vozovnice na principala, povezanega z njihovim lastnim računom, ali z izkoriščanjem nadomestne možnosti, kjer bi se preizkušali znani ključi, dokler se ne bi našel ustrezen, napadalec bi lahko zahteval, da strežnik sprejme vstopnice, šifrirane s katerim koli ključem, vključno z njihovim lastnim.

Uporabnik bi tako lahko spremenite geslo skrbniškega računa in pridobite popoln nadzor nad domeno. Možna bi bila popolna izguba zaupnosti in celovitosti, pa tudi razpoložljivosti, če bi uporabnikom onemogočili dostop do njihovih računov.

Kot se spomnite iz skoraj vseh uvodov o kibernetski varnosti, ki ste jih kdaj videli, razpoložljivost, zaupnost in celovitost so »sveta trojica« računalniške varnosti.

Ta tri načela so namenjena zagotavljanju: da si lahko samo vi ogledate svoje zasebne podatke (zaupnost); da se nihče drug ne more ukvarjati s tem, tudi če ga sam ne zna prebrati, ne da bi vas opozoril, da je noblirano (celovitost); in da vam nepooblaščene osebe ne morejo preprečiti dostopa do vaših lastnih stvari (razpoložljivost).

Jasno je, da če lahko kdorkoli ponastavi geslo vsakogar (ali morda mislimo, če lahko vsakdo ponastavi geslo kogar koli), nobena od teh varnostnih lastnosti ne velja, ker lahko napadalci vdrejo v vaš račun, spremenijo vaše datoteke in vas zaklenejo.

Kaj storiti?

Samba je na voljo v treh podprtih okusih: trenutni, prejšnji in predprejšnji.

Posodobitve, ki jih želite, so naslednje:

• Če uporabljate različico 4.16, posodobitev s 4.16.3 ali starejše na 4.16.4
• Če uporabljate različico 4.15, posodobitev s 4.15.8 ali starejše na 4.15.9
• Če uporabljate različico 4.14, posodobitev s 4.14.13 ali starejše na 4.14.14

Če ne morete posodobiti, lahko nekatere zgoraj navedene napake ublažite s spremembami konfiguracije, čeprav nekatere od teh sprememb izklopijo funkcionalnost, na katero se lahko zanaša vaše omrežje, kar bi vam preprečilo uporabo teh posebnih rešitev.

Zato, kot vedno: Popravljaj zgodaj, popravljaj pogosto!

Če uporabljate distribucijo Linux ali BSD, ki ponuja Sambo kot paket, ki ga je mogoče namestiti, bi morali že imeti (ali bi jo morali kmalu prejeti) posodobitev prek upravitelja paketov distribucije; za omrežne naprave, kot so predali NAS, za podrobnosti preverite pri svojem prodajalcu.

---