Samba vydala aktualizace zabezpečení pro vysoce závažná zranitelnosti, které mohou kyberzločinci umožnit převzít kontrolu nad systémy, na kterých běží dotčené verze Samby.
Kritické chyby zabezpečení CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 a CVE-2022-45141 byly opraveny ve verzích 4.17.4, 4.16.8 a 4.15.13. Všechny předchozí verze Samby jsou považovány za zranitelné. Proč je tedy pro vás důležité aktualizovat Sambu?
Co je Samba?
Samba je bezplatná softwarová sada s otevřeným zdrojovým kódem, která nabízí rychlé a stabilní souborové a tiskové služby. Nástroj pro sdílení souborů je možné integrovat s doménou Microsoft Windows Server, buď jako člena domény, nebo jako řadič domény (DC).
Samba je reimplementací slavného protokolu SMB. Samba nabízí správcům sítě flexibilitu, pokud jde o nastavení, konfiguraci a výběr systémů.
Všechny Samba verze 4 a novější podporují domény Active Directory (AD) a Microsoft NT. Nástroj interoperability Windows je k dispozici pro Unix, Linux a macOS.
Jaká zranitelnost byla nalezena v Sambě?
To je vždy důležité aktualizovat veškerý softwarevčetně operačního systému. To proto, že kromě vylepšení výkonu také aktualizuje zranitelnosti softwaru oprav. Proč je tedy důležité aktualizovat Sambu právě teď? Abychom správně porozuměli, musíme dále prozkoumat zranitelnosti v softwaru.
1. CVE-2022-38023
CVE-2022-38023, se skóre 8.1 CVSS, je zranitelnost spojená s RC4/HMAC-MD5 NetLogon Secure Channel. Kerberos používá slabou kryptografii RC4-HMAC. Podobně je zranitelný také režim RC4 v zabezpečeném kanálu NETLOGON, protože se jedná o stejné šifry. To se týká všech verzí Samby.
Problém spočívá v zabezpečeném kontrolním součtu, který se vypočítá jako HMAC-MD5(MD5(DATA)(KEY). Pokud útočník zná prostý text, mohl by pomocí stejného kontrolního součtu MD5 vytvořit různá data podle svého výběru a nahradit je v datovém toku.
Aby se tomu zabránilo, musí být šifra v Sambě deaktivována. V opravě vydané pro tuto chybu zabezpečení byly konfigurace ve výchozím nastavení nastaveny na:
odmítnout klienty md5 = ano
odmítnout md5 servery = ano
Dobrou zprávou je, že tuto šifru většina moderních serverů, jako je Windows 7 a novější, nepoužívá. NetApp ONTAP však stále používá RC4.
2. CVE-2022-37966
Útočník, který úspěšně zneužívá CVE-2022-37966 mohl získat administrátorská práva. Skóre CVSS pro tuto chybu zabezpečení je 8,1. Slabina spočívá v autentizačním systému třetí strany, Kerberos, který se používá v Active Directory (AD). Kerberos vydá klíč relace, který je zašifrován a zná ho pouze klient a server.
Kerberos RC4-HMAC je slabá šifra. Pokud je zneužita podobně jako CVE-2022-38023, lze ochranu HMAC obejít, i když útočník nezná klíč.
K úspěšnému zneužití této chyby musí útočník získat informace specifické pro prostředí cílového systému.
3. CVE-2022-37967
Tato chyba umožňuje ověřenému útočníkovi zneužít zranitelnosti kryptografických protokolů v systému Windows Kerberos. Pokud se kybernetickému útočníkovi podaří získat kontrolu nad službou, která je povolena pro delegování, může změnit Kerberos PAC a získat tak oprávnění správce. CVE-2022-37967 má skóre 7,2 CVSS.
4. CVE-2022-45141
Problém spočívá v chybě kódování ve verzích Heimdal. Kerberos vydá lístek na cílový server pomocí klíče známého pouze serveru, který se vrátí klientovi v TGS-REP.
Kvůli chybě v kódu v Heimdalu, pokud je místo klienta hacker, dostanou příležitost vyberte typ šifrování a získejte lístek zašifrovaný zranitelnou šifrou RC4-HMAC, kterou by mohli později využívat.
Tomu lze zabránit úplným odstraněním RC4-MAC ze serveru. CVE-2022-45141 má také skóre CVSS 8,1.
Oprava těchto zranitelností samozřejmě neznamená, že celý váš systém je nyní zabezpečený, a proto doporučujeme také používáte solidní bezpečnostní sadu.
Aplikujte aktualizace zabezpečení rychle
Uživatelé a správci musí zkontrolovat zabezpečení Samby a rychle aplikovat potřebné bezpečnostní záplaty, abyste mohli Sambu bezpečně používat.
Samba je účinný nástroj, který usnadňuje sdílení souborů. Pomocí tohoto nástroje můžete také nastavit síťově sdílenou složku na libovolném systému Linux a sdílet soubory mezi více operačními systémy v síti. Jen se ujistěte, že jej máte vždy aktualizované, abyste si mohli užívat optimální výkon a silné zabezpečení.