„Samba“ išleido didelio pažeidžiamumo saugos naujinimus, kurie gali leisti kibernetiniam nusikaltėliui perimti sistemų, kuriose veikia paveiktos „Samba“ versijos, kontrolę.
Kritinės spragos CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 ir CVE-2022-45141 buvo pataisytos 4.17.4, 4.16.8 ir 4.15.13 versijose. Visos ankstesnės Samba versijos laikomos pažeidžiamomis. Taigi kodėl jums svarbu atnaujinti „Samba“?
Kas yra Samba?
Samba yra nemokama atvirojo kodo programinės įrangos rinkinys, siūlantis greitas ir stabilias failų ir spausdinimo paslaugas. Galima integruoti failų dalijimosi įrankį su Microsoft Windows Server domenu, kaip domeno narį arba domeno valdiklį (DC).
Samba yra garsaus SMB protokolo pakartotinis įgyvendinimas. „Samba“ siūlo tinklo administratoriams lankstumo sąrankos, konfigūravimo ir sistemų pasirinkimo požiūriu.
Visos 4 versijos Samba palaiko Active Directory (AD) ir Microsoft NT domenus. „Windows“ suderinamumo įrankis galimas „Unix“, „Linux“ ir „MacOS“.
Kokių pažeidžiamumų buvo rasta „Samba“?
Tai visada svarbu atnaujinti visą programinę įrangą, įskaitant operacinę sistemą. Taip yra todėl, kad našumo patobulinimai atnaujina programinės įrangos pažeidžiamumą. Taigi kodėl svarbu atnaujinti „Samba“ dabar? Norėdami tinkamai suprasti, turime toliau tirti programinės įrangos spragas.
1. CVE-2022-38023
CVE-2022-38023, su 8.1 CVSS balu, yra pažeidžiamumas, susijęs su RC4/HMAC-MD5 NetLogon Secure Channel. „Kerberos“ naudoja silpną RC4-HMAC kriptografiją. Panašiai RC4 režimas NETLOGON Secure Channel taip pat yra pažeidžiamas, nes tai yra tie patys šifrai. Tai turi įtakos visoms Samba versijoms.
Problema kyla dėl saugios kontrolinės sumos, kuri apskaičiuojama kaip HMAC-MD5(MD5(DATA)(RAKTAS). Jei užpuolikas žino paprastą tekstą, jis gali sukurti skirtingus pasirinktus duomenis naudodamas tą pačią MD5 kontrolinę sumą ir pakeisti ją duomenų sraute.
Norint su tuo kovoti, šifras turi būti išjungtas Samboje. Šiam pažeidžiamumui išleistoje pataisoje pagal numatytuosius nustatymus buvo nustatytos šios konfigūracijos:
atmesti md5 klientus = taipatmesti md5 serverius = taipGeros naujienos yra tai, kad šio šifro nenaudoja dauguma šiuolaikinių serverių, tokių kaip „Windows 7“ ir naujesnės versijos. Tačiau NetApp ONTAP vis dar naudoja RC4.
2. CVE-2022-37966
Užpuolikas, kuris sėkmingai išnaudoja CVE-2022-37966 gali įgyti administratoriaus teises. Šio pažeidžiamumo CVSS balas yra 8,1. Trūkumas slypi trečiosios šalies autentifikavimo sistemoje „Kerberos“, naudojamoje „Active Directory“ (AD). Kerberos išduoda seanso raktą, kuris yra užšifruotas ir žinomas tik klientui ir serveriui.
Kerberos RC4-HMAC yra silpnas šifras. Jei jis naudojamas panašiai kaip CVE-2022-38023, HMAC apsauga gali būti apeinama, net jei užpuolikas nežino rakto.
Kad galėtų sėkmingai išnaudoti šį trūkumą, užpuolikas turi surinkti informaciją, būdingą tikslinės sistemos aplinkai.
3. CVE-2022-37967
Ši klaida leidžia autentifikuotam užpuolikui išnaudoti kriptografinio protokolo spragas sistemoje „Windows Kerberos“. Jei kibernetiniam užpuolikui pavyksta valdyti paslaugą, kuriai leidžiama deleguoti, jis gali pakeisti Kerberos PAC, kad įgytų administratoriaus teises. CVE-2022-37967 turi 7,2 CVSS balo.
4. CVE-2022-45141
Problema slypi Heimdal versijų kodavimo klaidoje. „Kerberos“ išduoda bilietą tiksliniam serveriui naudodama tik serveriui žinomą raktą, kuris grąžinamas klientui TGS-REP.
Dėl Heimdalio kodo klaidos, jei kliento vietoje yra įsilaužėlis, jie gaus galimybę pasirinkite šifravimo tipą ir gaukite bilietą, užšifruotą pažeidžiamu RC4-HMAC šifru, kurį vėliau galėtų išnaudoti.
To galima išvengti visiškai pašalinus RC4-MAC iš serverio. CVE-2022-45141 taip pat turi 8,1 CVSS balo.
Žinoma, šių pažeidžiamumų pataisymas nereiškia, kad visa jūsų sistema dabar saugi, todėl patariame jūs taip pat naudojate tvirtą saugos rinkinį.
Greitai pritaikykite saugos naujinimus
Vartotojai ir administratoriai turi peržiūrėti „Samba“ saugą ir greitai pritaikyti reikiamus saugos pataisymus, kad galėtumėte toliau saugiai naudoti „Samba“.
„Samba“ yra efektyvus įrankis, palengvinantis dalijimąsi failais. Naudodami šį įrankį taip pat galite nustatyti tinklo bendrinamą aplanką bet kurioje „Linux“ sistemoje ir bendrinti failus keliose tinklo operacinėse sistemose. Tiesiog įsitikinkite, kad jį visada atnaujinate, kad galėtumėte mėgautis optimaliu našumu ir stipria sauga.