Vulnerabilidad de ejecución remota de código Samba 3.5.0 (Parchea!)

gnu/linux tuxSamba, se ha confirmado una grave vulnerabilidad en samba (todas las versiones superiores a 3.5.0), que podría permitir a un atacante remoto ejecutar código arbitrario desde un compartido en el que se pueda escribir. Samba permite que los sistemas operativos que no sean Windows, como GNU/Linux o Mac OS X, compartan carpetas compartidas de red, archivos e impresoras con el sistema operativo Windows.

Esta vulnerabilidad permite ejecución remota de código (RCE), identificada como CVE-2017-7494, tiene más de 7 años de antiguedad y afecta a todas las versiones de Samba 3.5.0 (y superiores), que se publicó el 1 de marzo de 2010.
El problema puede permitir a un cliente malicioso subir una librería compartida a un compartido que permita la escritura y posteriormente hacer que el servidor la cargue y la ejecute.

Según Shodan hay más de 485.000 computadoras con Samba y con el puerto 445 expuesto a Internet, y según los investigadores de Rapid7, hay más de 104.000 computadoras expuestas a Internet que parecían estar ejecutando versiones vulnerables de Samba: De estas, 92.000 están ejecutando versiones no soportadas de Samba.

El exploit de Samba ya ha sido portado a Metasploit y permite a los investigadores (y delincuentes) explotar esta falla fácilmente.

vulnerabilidad samba 350 exploit

Se han publicado parches para solucionar esta vulnerabilidad. Se han publicado las versiones Samba 4.6.4, 4.5.10 y 4.4.14 que corrigen los problemas.

Como contramedida el equipo de Samba recomienda añadir este parámetro a la sección Global de smb:

"nt pipe support = no" 

Y reiniciar smbd.

Más Información:

Fuente: Hispasec y HackerNews