Критична помилка Samba може дозволити будь-кому стати адміністратором домену – виправте зараз!

Samba — це широко використовуваний набір інструментів з відкритим вихідним кодом, який не тільки полегшує зв’язок комп’ютерів Linux і Unix з мережами Windows, але й дозволяє розміщувати домен Active Directory у стилі Windows без серверів Windows.

Якщо ви коли-небудь замислювалися, це ім’я походить від SMB, що звучить весело та легко для вимови. Сервер Блок повідомлення, власний протокол обміну файлами, який бере початок з початку 1980-х років.

Будь-хто з достатнім об’ємом пам’яті пригадає, ймовірно, без особливого захоплення, підключення комп’ютерів OS/2 для обміну файлами за допомогою SMB через NetBIOS.

Samba зародилася на початку 1990-х років завдяки наполегливій праці австралійського піонера відкритого коду Ендрю Триджелла, який з перших принципів зрозумів, як працює SMB, щоб реалізувати сумісну версію для Unix, поки він був зайнятий над докторською програмою в Австралійському національному університеті. університет.

(Трідж, до речі, мав ступінь доктора філософії rsync, інший набір програмних засобів, який у вас є ймовірно, використовується в якомусь вигляді, навіть якщо ви цього не усвідомлюєте.)

SMB перетворився на CIFS Загальна Інтернет-файлова система, коли він був оприлюднений корпорацією Майкрософт у 1996 році, і з тих пір породив SMB 2 і SMB 3, які все ще є власними мережевими протоколами, але з офіційно опублікованими специфікаціями, щоб таким інструментам, як Samba, більше не доводилося покладатися на зворотне проектування та припущення для забезпечення сумісних реалізацій.

Як ви можете собі уявити, корисність Samba означає, що вона широко використовується у світі Linux і Unix, у тому числі всередині компанії, у хмарі та навіть на мережевому обладнанні, такому як домашні маршрутизатори та пристрої NAS.

(NAS - це скорочення від мережеве сховище, як правило, ящик, повний жорстких дисків, який ви підключаєте до локальної мережі та автоматично відображається як файловий сервер, до якого мають доступ усі ваші комп’ютери.)

Роздрукуйте свій власний паспорт!

Samba щойно оновлено, щоб усунути низку вразливостей безпеки, зокрема критичну помилку, пов’язану зі скиданням пароля.

Як детально описано в останньому Примітки до випуску Samba, виправлено шість помилок із номером CVE, включаючи ці п’ять…

...разом із цією, яка є найсерйознішою з усіх, як ви відразу побачите з опису помилки:

Теоретично, CVE-2022-32744 помилка може бути використана будь-яким користувачем мережі.

Грубо кажучи, зловмисники можуть сперечатися зі службою зміни паролів Samba, відомою як kpasswd, через низку невдалих спроб змінити пароль…

…поки він нарешті не прийняв запит на зміну пароля що було дозволено самими зловмисниками.

На сленгу це те, що можна назвати a Роздрукуйте власний паспорт (PYOP), де вас просять підтвердити вашу особу, але ви можете це зробити, надавши «офіційний» документ, створений вами самостійно.

Свята трійця кібербезпеки

Як зазначено у звіті про помилку Samba (виділення наше):

Квитки отримані kpasswd було розшифровано без вказівки, що слід спробувати лише власні ключі цієї служби. Встановлюючи ім’я сервера квитка на принципала, пов’язаного з їхнім власним обліковим записом, або використовуючи резервний варіант, коли відомі ключі пробуватимуть, доки не буде знайдено відповідний, зловмисник може змусити сервер приймати квитки, зашифровані будь-яким ключем, включно з їхнім власним.

Таким чином користувач міг змінити пароль облікового запису адміністратора та отримати повний контроль над доменом. Можлива повна втрата конфіденційності та цілісності, а також доступності через заборону доступу користувачів до їхніх облікових записів.

Як ви пам’ятаєте майже з будь-якого ознайомлення з кібербезпекою, яке ви коли-небудь бачили, наявність, конфіденційність та цілісність є «святою трійцею» комп’ютерної безпеки.

Ці три принципи покликані гарантувати, що ви самі можете переглядати свої особисті дані (конфіденційність); що ніхто інший не може возитися з цим, навіть якщо вони не можуть прочитати самі, не даючи вам знати, що це було благородно (цілісність); і що неавторизовані сторони не можуть перешкодити вам отримати доступ до ваших власних речей (наявність).

Зрозуміло, що якщо будь-хто може скинути пароль кожного (або, можливо, ми маємо на увазі, що кожен може скинути чийсь пароль), жодна з цих властивостей безпеки не застосовується, оскільки зловмисники можуть проникнути у ваш обліковий запис, змінити ваші файли та заблокувати вас.

Що ж робити?

Samba доступна в трьох підтримуваних варіантах: поточний, попередній і попередній.

Оновлення, які ви хочете, такі:

• Якщо використовується версія 4.16, оновити з 4.16.3 або ранішої версії до 4.16.4
• Якщо використовується версія 4.15, оновити з 4.15.8 або ранішої версії до 4.15.9
• Якщо використовується версія 4.14, оновити з 4.14.13 або ранішої версії до 4.14.14

Якщо ви не можете оновити, деякі з перелічених вище помилок можна пом’якшити за допомогою змін конфігурації, хоча деякі з цих змін вимикають функціональність, на яку може покладатися ваша мережа, що не дозволить вам використовувати ці конкретні обхідні шляхи.

Тому, як завжди: Латка рано, латка часто!

Якщо ви використовуєте дистрибутив Linux або BSD, який надає Samba як пакунок, який можна встановити, ви вже маєте (або незабаром отримаєте) оновлення через менеджер пакетів вашого дистрибутива; для мережевих пристроїв, таких як блоки NAS, зверніться до свого постачальника для отримання деталей.

---