Samba je uvedla varnostne posodobitve za zelo resne ranljivosti, ki lahko kibernetskemu kriminalcu omogočijo prevzem nadzora nad sistemi, v katerih se izvajajo prizadete različice Sambe.
Kritične ranljivosti CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 in CVE-2022-45141 so bile popravljene v različicah 4.17.4, 4.16.8 in 4.15.13. Vse prejšnje različice Sambe veljajo za ranljive. Zakaj je torej pomembno, da posodobite Sambo?
Kaj je Samba?
Samba je brezplačna in odprtokodna programska oprema, ki ponuja hitre in stabilne storitve za datoteke in tiskanje. Orodje za skupno rabo datotek je mogoče integrirati z domeno Microsoft Windows Server, bodisi kot člana domene bodisi kot krmilnik domene (DC).
Samba je ponovna implementacija znanega protokola SMB. Samba ponuja omrežnim skrbnikom prilagodljivost glede nastavitve, konfiguracije in izbire sistemov.
Vse različice Sambe od 4 naprej podpirajo domene Active Directory (AD) in Microsoft NT. Orodje za interoperabilnost sistema Windows je na voljo za Unix, Linux in macOS.
Katere ranljivosti so bile odkrite v Sambi?
Vedno je pomembno, da posodobite vso programsko opremo, vključno z operacijskim sistemom. To je zato, ker poleg izboljšav delovanja posodobitve popravljajo ranljivosti programske opreme. Zakaj je torej pomembno, da posodobite Sambo prav zdaj? Za pravilno razumevanje moramo nadalje raziskati ranljivosti v programski opremi.
1. CVE-2022-38023
CVE-2022-38023, z oceno 8,1 CVSS, je ranljivost, povezana z varnim kanalom NetLogon RC4/HMAC-MD5. Kerberos uporablja šibko kriptografijo RC4-HMAC. Podobno je ranljiv tudi način RC4 v varnem kanalu NETLOGON, saj gre za enake šifre. To vpliva na vse različice Sambe.
Težava je v varni kontrolni vsoti, ki se izračuna kot HMAC-MD5(MD5(DATA)(KEY). Če napadalec pozna golo besedilo, lahko ustvari različne podatke po svoji izbiri z uporabo iste kontrolne vsote MD5 in jo nadomesti v podatkovnem toku.
Za boj proti temu mora biti šifra v Sambi onemogočena. V popravku, izdanem za to ranljivost, so bile konfiguracije privzeto nastavljene na:
zavrni odjemalce md5 = dazavrni strežnike md5 = daDobra novica je, da te šifre ne uporablja večina sodobnih strežnikov, kot so Windows 7 in novejši. NetApp ONTAP pa še vedno uporablja RC4.
2. CVE-2022-37966
Napadalec, ki uspešno izkorišča CVE-2022-37966 lahko pridobi skrbniške pravice. Ocena CVSS za to ranljivost je 8,1. Slabost je v sistemu za preverjanje pristnosti tretje osebe, Kerberos, ki se uporablja v Active Directory (AD). Kerberos izda ključ seje, ki je šifriran in poznan samo odjemalcu in strežniku.
Kerberos RC4-HMAC je šibka šifra. Če se izkorišča podobno kot CVE-2022-38023, je zaščito HMAC mogoče zaobiti, tudi če napadalec ne pozna ključa.
Za uspešno izkoriščanje te napake mora napadalec zbrati informacije, specifične za okolje ciljnega sistema.
3. CVE-2022-37967
Ta napaka omogoča preverjenemu napadalcu, da izkoristi ranljivosti kriptografskega protokola v sistemu Windows Kerberos. Če kibernetskemu napadalcu uspe pridobiti nadzor nad storitvijo, ki je dovoljena za delegiranje, lahko spremeni Kerberos PAC, da pridobi skrbniške pravice. CVE-2022-37967 ima oceno 7,2 CVSS.
4. CVE-2022-45141
Težava je v napaki kodiranja v različicah Heimdal. Kerberos izda vstopnico ciljnemu strežniku z uporabo ključa, ki ga pozna samo strežnik, ki se vrne odjemalcu v TGS-REP.
Zaradi napake v kodi v Heimdalu, če je namesto stranke heker, bodo dobili priložnost, da izberite vrsto šifriranja in pridobite vstopnico, šifrirano z ranljivo šifro RC4-HMAC, ki bi jo lahko pozneje izkoriščanje.
To lahko preprečite s popolno odstranitvijo RC4-MAC s strežnika. CVE-2022-45141 ima tudi oceno 8,1 CVSS.
Seveda popravljanje teh ranljivosti ne pomeni, da je vaš celoten sistem zdaj varen, zato vam svetujemo uporabljate tudi trden varnostni paket.
Hitro uporabite varnostne posodobitve
Uporabniki in skrbniki morajo pregledati varnost Sambe in hitro uporabiti potrebne varnostne popravke, da boste lahko še naprej varno uporabljali Sambo.
Samba je učinkovito orodje, ki olajša skupno rabo datotek. S tem orodjem lahko tudi nastavite mapo v omrežni skupni rabi v katerem koli sistemu Linux in delite datoteke v več operacijskih sistemih v omrežju. Poskrbite, da bo vedno posodobljen, da boste lahko uživali v optimalnem delovanju in visoki varnosti.
