OPERATIVSYSTEMER OG PROGRAMVARE

Samba-sårbarhet lar angripere fjernkjøre kode med alle rettigheter

Anses som svært alvorlig i helt spesielle tilfeller.

Spesielt administratorer av Samba-systemer som er spesielt satt opp for å tilby god støtte for MacOS, bør installere den nye sikkerhetsoppdateringen.
Spesielt administratorer av Samba-systemer som er spesielt satt opp for å tilby god støtte for MacOS, bør installere den nye sikkerhetsoppdateringen. Illustrasjon: Synology, Wikipedia. Montasje: digi.no
Harald BrombachHarald BrombachNyhetsleder
2. feb. 2022 - 08:36

The Samba Team har denne uken fjernet en sårbarhet fra fil- og skriverdelingsprogramvaren Samba, som benyttes i mange Unix-lignende systemer, inkludert Linux. Den anses som svært alvorlig, 9,9 poeng i CVSSv3-skalaen, trolig først og fremst fordi den gjør det mulig for ikke-autentiserte brukere å kjøre kode med root-privilegier.

Tjenestene som Samba tilbyr, har lite ute på det åpne internett å gjøre, så muligheten for veldig langtrekkende angrep er nok temmelig begrenset. Men dersom en angriper kan få tilgang til et lokalnett, enten fysisk eller via wifi, kan vedkommende potensielt utføre angrep mot sårbare Samba-installasjoner. 

Sikkerhetskonsulent Mats Koteng i Mnemonic var hendelsesleder da angrepet på 12 departementer i fjor først ble oppdaget. Her under NSMs sikkerhetskonferanse torsdag.
Les også

Dataangrepet på departementer: – Mangelen på spor gjør meg bekymra

En rekke forutsetninger

Sårbarheten, CVE-2021-44142, finnes i VFS-modulen (Virtual File System) vfs_fruit, som tilbyr forbedret kompatibilitet med SMB-klienter levert av Apple og støtte for samhandling med Netatalk 3 AFP-filservere. Modulen bruker utvidede filattributter for å oppnå dette, og det er i koden for tolkningen av disse attributtene at sårbarheten befinner seg. Sårbarheten gjør det mulig å skrive til ulovlige minneområder. Dette kan utnyttes ved hjelp av en fil med spesielt tilpassede, utvidede filattributter. 

Utnyttelse av sårbarheten krever skrivetilgang til det sårbare systemet. Avhengig av konfigurasjonen i systemet kan dette også inkludere gjestebrukere eller ikke-autentiserte brukere. Trolig kan sårbarheten også utnyttes ved at autentiserte brukere kan narres til å lagre en ondsinnet fil på en sårbar Samba-server.

Det er ikke heller ikke nødvendigvis slik at alle Samba-systemer er konfigurert til å bruke vfs_fruit-modulen på en sårbar måte. For det første må modulen lastes. Dette kan sjekkes ved å se om ordet «fruit» er nevnt i forbindelse med «vfs objects» i konfigurasjonsfilen smb.conf. 

Det er også en forutsetning at vfs_fruit-modulens konfigurasjon inkluderer minst en av de to verdiene fruit:metadata=netatalk eller fruit:resource=file. Dette er standardverdiene. Dersom begge har blitt endret til andre verdier, kan ikke sårbarheten utnyttes. Men da vil ikke MacOS-klienter kunne få tilgang til den aktuelle informasjonen.

Last ned sikkerhetsoppdateringen nå

Sårbarheten finnes i alle versjoner av Samba utgitt tidligere enn versjon 4.13.17. Versjonene 4.13.17, 4.14.12 og 4.15.5, som er tilgjengelige nå, korrigerer feilen. Sikkerhetsfiksen kan også være inkludert i versjoner med lavere versjonsnummer. Dette gjøres ofte av den enkelte Linux-distributør og kalles for backporting. Oppdateringen er nå tilgjengelig gjennom pakkebrønnene til flere av distribusjonene. 

IT-sikkerhetssjef Thomas Tømmernes  i Atea sier at cyberforsikring er viktig for noen, men ikke nødvendigvis det beste for alle.
Les også

– Ikke alltid den beste løsningen

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.