Lỗi Samba nghiêm trọng có thể cho phép bất kỳ ai trở thành Quản trị viên miền - hãy vá ngay!

Samba là bộ công cụ mã nguồn mở được sử dụng rộng rãi, không chỉ giúp máy tính Linux và Unix dễ dàng kết nối với mạng Windows mà còn cho phép bạn lưu trữ miền Active Directory kiểu Windows mà không cần máy chủ Windows.

Cái tên, trong trường hợp bạn từng thắc mắc, là một nguồn gốc nghe có vẻ vui tai và dễ nói từ SMB, viết tắt của Server Message Block, một giao thức chia sẻ tệp độc quyền có từ đầu những năm 1980.

Bất cứ ai có trí nhớ đủ lâu sẽ nhớ lại, có thể không có tình cảm lớn, kết nối máy tính OS / 2 để chia sẻ tệp bằng SMB qua NetBIOS.

Samba bắt đầu ra đời vào đầu những năm 1990 nhờ sự làm việc chăm chỉ của nhà tiên phong nguồn mở người Úc Andrew Tridgell, người đã tìm ra từ những nguyên tắc đầu tiên về cách thức hoạt động của SMB để có thể triển khai một phiên bản tương thích cho Unix trong khi anh ấy đang bận rộn với bằng tiến sĩ tại Đại học Quốc gia Úc. Trường đại học.

(Nhân tiện, Tiến sĩ của Tridge, là rsync, một bộ công cụ phần mềm khác mà bạn có lẽ được sử dụng trong một số chiêu bài, ngay cả khi bạn không nhận ra điều đó.)

SMB biến thành CIFS, Hệ thống tệp Internet chung, khi nó được Microsoft công khai vào năm 1996, và kể từ đó đã sinh ra SMB 2 và SMB 3, vẫn là các giao thức mạng độc quyền, nhưng với các thông số kỹ thuật được chính thức công bố để các công cụ như Samba không còn phải dựa vào kỹ thuật đảo ngược và phỏng đoán để cung cấp các triển khai tương thích.

Như bạn có thể tưởng tượng, tính hữu dụng của Samba có nghĩa là nó được sử dụng rộng rãi trong thế giới Linux và Unix, bao gồm nội bộ, trên đám mây và thậm chí trên phần cứng mạng như bộ định tuyến gia đình và thiết bị NAS.

(NAS là viết tắt của lưu trữ gắn mạng, thường là một hộp chứa đầy đĩa cứng mà bạn cắm vào mạng LAN của mình và tự động hiển thị dưới dạng máy chủ tệp mà tất cả các máy tính khác của bạn có thể truy cập.)

In hộ chiếu của riêng bạn!

Samba vừa được cập nhật để sửa một số lỗ hổng bảo mật, bao gồm một lỗi nghiêm trọng liên quan đến việc đặt lại mật khẩu.

Như chi tiết trong phần mới nhất Ghi chú phát hành Samba, có sáu lỗi được đánh số CVE đã được vá, bao gồm năm…

… Cùng với vấn đề này, đây là vấn đề nghiêm trọng nhất, như bạn sẽ thấy ngay từ phần mô tả lỗi:

Về lý thuyết, CVE-2022-32744 lỗi có thể được khai thác bởi bất kỳ người dùng nào trên mạng.

Nói một cách dễ hiểu, những kẻ tấn công có thể tấn công dịch vụ thay đổi mật khẩu của Samba, được gọi là kpasswd, qua một loạt lần thay đổi mật khẩu không thành công…

… Cho đến khi cuối cùng nó chấp nhận yêu cầu thay đổi mật khẩu được cho phép bởi chính những kẻ tấn công.

Theo thuật ngữ tiếng lóng, đây là những gì bạn có thể gọi là In hộ chiếu của riêng bạn (PYOP) tấn công, trong đó bạn được yêu cầu chứng minh danh tính của mình, nhưng có thể làm như vậy bằng cách xuất trình tài liệu "chính thức" mà bạn tự tạo.

Bộ ba thần thánh của an ninh mạng

Như báo cáo lỗi Samba đã nêu (nhấn mạnh của chúng tôi):

Vé nhận được bởi kpasswd dịch vụ đã được giải mã mà không chỉ định rằng chỉ nên thử các khóa riêng của dịch vụ đó. Bằng cách đặt tên máy chủ của vé thành tên chính được liên kết với tài khoản của chính họ hoặc bằng cách khai thác dự phòng nơi các khóa đã biết sẽ được thử cho đến khi tìm thấy một khóa phù hợp, kẻ tấn công có thể yêu cầu máy chủ chấp nhận các vé được mã hóa bằng bất kỳ khóa nào, kể cả khóa của chúng.

Do đó, một người dùng có thể thay đổi mật khẩu của tài khoản Quản trị viên và giành toàn quyền kiểm soát miền. Có thể mất toàn bộ tính bảo mật và tính toàn vẹn, cũng như tính khả dụng khi từ chối người dùng truy cập vào tài khoản của họ.

Như bạn sẽ nhớ từ hầu hết mọi phần giới thiệu về an ninh mạng mà bạn từng thấy, sẵn có, bảo mật và tính toàn vẹn là "bộ ba thần thánh" của bảo mật máy tính.

Ba nguyên tắc đó nhằm đảm bảo: một mình bạn có thể xem dữ liệu cá nhân của mình (bảo mật); mà không ai khác có thể gây rối với nó, ngay cả khi họ không thể tự đọc nó, mà không làm cho bạn biết rằng nó đã được ghim (tính toàn vẹn); và các bên trái phép không thể ngăn bạn truy cập vào nội dung của riêng bạn (sẵn có).

Rõ ràng, nếu ai đó có thể đặt lại mật khẩu của mọi người (hoặc có lẽ ý chúng tôi là nếu mọi người có thể đặt lại mật khẩu của bất kỳ ai), thì không có thuộc tính bảo mật nào trong số đó được áp dụng, bởi vì những kẻ tấn công có thể xâm nhập vào tài khoản của bạn, thay đổi tệp của bạn và khóa bạn.

Phải làm gì?

Samba có ba hương vị được hỗ trợ: hiện tại, trước đó và trước đó.

Các bản cập nhật bạn muốn như sau:

• Nếu sử dụng phiên bản 4.16, cập nhật từ 4.16.3 trở lên để 4.16.4
• Nếu sử dụng phiên bản 4.15, cập nhật từ 4.15.8 trở lên để 4.15.9
• Nếu sử dụng phiên bản 4.14, cập nhật từ 4.14.13 trở lên để 4.14.14

Nếu bạn không thể cập nhật, một số lỗi được liệt kê ở trên có thể được giảm thiểu bằng các thay đổi cấu hình, mặc dù một số thay đổi đó sẽ tắt chức năng mà mạng của bạn có thể dựa vào, điều này sẽ ngăn bạn sử dụng các giải pháp thay thế cụ thể đó.

Do đó, như mọi khi: Vá sớm, vá thường xuyên!

Nếu bạn sử dụng bản phân phối Linux hoặc BSD cung cấp Samba dưới dạng gói có thể cài đặt, bạn phải có (hoặc sẽ sớm nhận được) bản cập nhật thông qua trình quản lý gói của bản phân phối của bạn; đối với các thiết bị mạng như hộp NAS, hãy kiểm tra với nhà cung cấp của bạn để biết chi tiết.

---