Samba ha risolto una vulnerabilità critica che, se sfruttata con successo, potrebbe consentire a un attaccante da remoto di eseguire codice arbitrario con i privilegi di root. È urgente installare la patch perché la falla mette parimenti a rischio utenze Linux, Windows e macOS.

Samba è una diffusa implementazione freeware del protocollo di rete Server Message Block (SMB) che consente agli utenti di accedere a file, stampanti e altre risorse condivise su una rete. A differenza di altre implementazioni analoghe, Samba è liberamente disponibile ed è molto popolare perché permette di ottenere interoperabilità tra Unix, Linux, macOS e Windows. Il CERT Coordination Center (CERT /CC) ha sottolineato che questa vulnerabilità colpisce anche le distribuzioni Linux più usate come Red Hat, SUSE Linux e Ubuntu.

La falla è monitorata con la sigla CVE-2021-44142, ha un indice di criticità CVSS di 9.9 ed è stata segnalata da un esperto di Devcore, che l’ha descritta come una vulnerabilità di lettura/scrittura di heap fuori limite, che si verifica nel modulo VFS vfs_fruit durante l'analisi dei metadati EA durante l'apertura di file in smbd.

Il problema interessa tutte le versioni di Samba antecedenti alla 4.13.17 che adottano una configurazione predefinita del modulo VFS fruit. Come hanno spiegato i manutentori, infatti, ci sono due impostazioni prefefinite: fruit:metadata=netatalk e fruit:resource=file che sono all’origine del problema. Se entrambe le opzioni sono impostate su valori differenti rispetto a quelli indicati, il sistema è al sicuro.

In caso contrario è necessario installare le versioni 4.13.17, 4.14.12 e 4.15.5 che sono già disponibili a questo link, o applicare le patch il prima possibile. Il rischio è elevato dal fatto che un attaccante può sfruttare questa falla con un attacco relativamente semplice e senza bisogno dell'interazione dell'utente.

"La scoperta di questa vulnerabilità fa seguito a quella recente di Log4j e mette in evidenza le sfide che molti team di sicurezza in tutto il mondo devono affrontare per mitigare i rischi in una moltitudine di applicazioni e software open source" ha affermato Salvatore Marcis, Technical Director di Trend Micro Italia. "La buona notizia è che questa vulnerabilità è stata scoperta durante un nostro evento Pwn2Own, e questo ci ha permesso di lavorare con gli sviluppatori per correggerla e divulgarla in modo responsabile. Finora, non abbiamo rilevato attacchi".

Altre due falle e i precedenti

Oltre alla falla critica, ne sono state scoperte altre due minori, che vengono chiuse in concomitanza con l’aggiornamento richiesto per la CVE-2021-44142. La prima è monitorata con la sigla CVE-2021-44141, ha un punteggio CVSS di 4 e può causare una perdita di informazioni tramite link esterni alla condivisione. La seconda è la CVE-2022-0336, che ha un punteggio CVSS di 3.1 e consente agli utenti di Samba AD con il permesso di scrittura di impersonare servizi arbitrari.

L’emergenza odierna non è la prima che mette a rischio la sicurezza dei sistemi che fanno uso di Samba. L’evento più grave risale al 2017, quando fu scoperta la vulnerabilità critica CVE-2017-7494 che era attiva da sette anni e che permetteva ad un attaccante da remoto di sfruttare un exploit wormable per introdursi in un sistema Linux dalla porta 445, infettarlo e diffondere l’infezione in tutta la rete. Anche in quel caso una patch tempestiva risolse il problema.