BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Vulnerabilidad de Samba trae el temor de WannaCry a Linux/Unix

Una generalizada vulnerabilidad de Samba ha planteado la posibilidad de ataques similares a WannaCry hacia sistemas Linux y Unix, pero hay opciones de mitigación disponibles.

Los investigadores advierten que muchos sistemas Linux y Unix contienen una vulnerabilidad de Samba que podría conducir a ataques similares o peores a WannaCry, si los profesionales de TI no lo remedian rápidamente.

Según la advertencia de seguridad de Samba, la vulnerabilidad (CVE-2017-7494) afecta a la versión 3.5 (publicada el 1 de marzo de 2010) y más recientes. La vulnerabilidad de Samba es remotamente explotable y podría permitir que "un cliente malintencionado cargue una biblioteca compartida en un recurso compartido de escritura, y luego haga que el servidor la cargue y la ejecute".

Nick Bilogorskiy, director senior de operaciones de amenazas de Cyphort, dijo que aunque no hay explotaciones activas por ahí, el daño de esta vulnerabilidad de Samba podría ser precipitoso.

"Debido a que esta vulnerabilidad permite la ejecución remota de código, los atacantes tendrán control total sobre una máquina comprometida, y cualquier carga útil es posible", dijo Bilogorskiy a SearchSecurity. "Por ejemplo, [un atacante podría] dejar caer una puerta trasera, robar datos del sistema, espiar al usuario, atacar a otros sistemas o tratar de cifrar todos los datos para un rescate".

Lane Thames, investigador senior de seguridad de Tripwire, dijo que explotar la vulnerabilidad de Samba "es un poco más difícil que la vulnerabilidad SMB de WannaCry".

"Por ejemplo, para explotar CVE-2017-7494 un atacante debe encontrar un sistema vulnerable, a continuación, encontrar la ruta de un recurso compartido de archivos apropiado en el sistema, y ​​el atacante debe estar autenticado con el servidor de Samba vulnerable o el recurso compartido debe estar disponible para ser escrito sin autenticación", dijo Thames a SearchSecurity. "Independientemente, las empresas deben avanzar rápidamente para corregir esta vulnerabilidad y asegurarse de que no exista ningún servicio innecesario de Samba que esté expuesto a internet".

Corrección de la vulnerabilidad de Samba

La investigación de Rapid7 Labs dijo que los ataques a esta vulnerabilidad de Samba podrían venir sobre el mismo puerto 445 utilizado para acceder a SMB en máquinas Windows, pero el puerto 139 también podría exponer puntos finales a ataques. Rapid7 sugirió que "las organizaciones deberían revisar sus reglas de firewall para asegurar que el tráfico de red SMB/Samba no está permitido directamente desde internet a sus activos".

Un parche ha sido liberado y el asesoramiento de Samba también señaló una solución potencial para aquellos que no pueden remendar de inmediato. Samba dijo que añadir el argumento "nt pipe support = no" a la sección global del archivo de configuración de Samba mitigará la amenaza, pero podría tener la consecuencia añadida de inhabilitar "alguna funcionalidad esperada para clientes Windows".

Thames dijo que el espacio empresarial estará "preocupado por sus sistemas de archivos y servidores de impresión que corren sobre los sistemas operativos Linux y Unix que usan Samba", pero advirtió que las soluciones de almacenamiento "también pueden plantear riesgos significativos".

"La mayoría de estos dispositivos de almacenamiento usan Linux y Samba incorporados para sus funcionalidades de intercambio de archivos. Además, son estos tipos de dispositivos los que probablemente serán los más problemáticos para nosotros con esta vulnerabilidad", dijo Thames. "Los proveedores de servidores empresariales se están moviendo rápidamente para enviar parches a los clientes empresariales para esta vulnerabilidad de Samba. Sin embargo, los proveedores [de almacenamiento conectado a red] podrían no moverse tan rápido en esto y en algunos casos podrían ni siquiera publicar parches para esto".

Samba vs WannaCry

Craig Williams, líder técnico de Cisco Talos, dijo que las comparaciones entre esta vulnerabilidad de Samba y WannaCry "se deben al hecho de que ambos problemas afectaron al mismo protocolo".

"Samba es básicamente lo que usan los sistemas [Linux/Unix] para hablar con los almacenes de archivos de Windows y con las impresoras", dijo Williams a SearchSecurity. "Dicho esto, hasta la fecha no hemos visto un gusano o incluso un exploit con una carga útil de ransomware, aunque esto podría cambiar en cualquier segundo".

Bilogorskiy dijo que, aunque WannaCry consigue mejores titulares, la mejor comparación fue con EternalBlue –la vulnerabilidad de SMB explotada por WannaCry– porque "en este momento estamos lidiando con una vulnerabilidad, todavía no con malware".

"Si se descubre un gusano explotando esta vulnerabilidad de Samba, entonces sí, las comparaciones con WannaCry están garantizadas y hay maneras de cómo puede incluso ser peor que WannaCry. WannaCry golpeó los sistemas de Windows, más de 60 días después del parche. La mayoría de ellos tenía autoactualización habilitada y no eran vulnerables", dijo Bilogorskiy. "Cualquier gusano de Samba puede golpear los servidores Linux y Unix, donde la mayoría no tienen habilitada la actualización automática. En realidad, algunos de estos sistemas Unix funcionan durante años sin ningún mantenimiento. También, a diferencia de las estaciones de trabajo, la mayoría de ellos siempre están encendidos, los usuarios nunca los apagan. Así que [hay más] objetivos en línea sin parches para que las infecte un gusano".

Próximos pasos

Más sobre vulnerabilidades:

WannaCry confirma tácticas y objetivos de cibercriminales

OpenSSL soluciona cuatro de sus vulnerabilidades

Remediación de vulnerabilidad de la falla WannaCry plantea preocupaciones

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close