Kerentanan tingkat keparahan kritis
A di platform Samba dapat memungkinkan penyerang untuk mendapatkan eksekusi kode jarak jauh dengan hak akses root di server.

Samba adalah rangkaian interoperabilitas yang memungkinkan host berbasis Windows dan Linus/Unix untuk bekerja sama dan berbagi file dan layanan cetak dengan multi-platform perangkat di jaringan umum, termasuk berbagi file SMB. Mendapatkan kemampuan untuk mengeksekusi kode jarak jauh sebagai pengguna root berarti penyerang akan dapat membaca, memodifikasi atau menghapus file apa pun di sistem, menghitung pengguna, menginstal malware (seperti cryptominers atau ransomware), dan berporos lebih jauh ke perusahaan network.

Bug (CVE-2021-44142) secara khusus adalah kerentanan baca/tulis tumpukan di luar batas dalam modul VFS yang disebut “vfs_fruit.” Ini mempengaruhi semua versi Samba sebelum v.4.13.17, dan membawa peringkat 9,9 dari 10 pada skala keparahan kerentanan keamanan CVSS. Selain itu, beberapa paket Red Hat, SUSE Linux dan Ubuntu yang mendukung Samba juga terpengaruh.

'Buah' dari Tenaga Kerja Penyerang

Modul "buah" digunakan untuk menyediakan "kompatibilitas yang ditingkatkan dengan klien Apple SMB dan interoperabilitas dengan server file Netatalk 3 AFP, ” melalui penggunaan atribut file yang diperluas (EA), menurut dokumentasi perusahaan.

“Kelemahan spesifik ada dalam penguraian metadata EA saat membuka file di smbd [yaitu, daemon server yang menyediakan layanan berbagi file dan pencetakan untuk klien Windows] ,” menurut nasihat Senin dari Samba. “Masalah di vfs_fruit ada dalam konfigurasi default modul VFS buah menggunakan [modul khusus] buah:metadata=netatalk atau buah:sumber daya=file.”



Ada dua peringatan untuk dieksploitasi: Jika modul VFS memiliki pengaturan yang berbeda dari default nilai, sistem tidak terpengaruh oleh masalah keamanan, menurut Samba.

Juga, penyerang harus memiliki akses tulis ke atribut tambahan file untuk eksploitasi yang berhasil.

Namun, “ini bisa menjadi tamu atau pengguna yang tidak diautentikasi jika pengguna tersebut diizinkan menulis akses ke atribut file yang diperluas,” perusahaan tersebut memperingatkan.

Samba memberi kredit Orange Tsai dari DEVCORE dengan menemukan bug.

How to Mitigate CVE-2021-44142

Samba 4.13.17, 4.14.12 dan 4.15.5 adalah versi yang ditambal; administrator didesak untuk meningkatkan ke rilis ini sesegera mungkin.

Ada juga solusi yang tersedia, menurut perusahaan, yang melibatkan penghapusan modul "buah" dari daftar objek VFS di file konfigurasi Samba: "Hapus 'buah' Modul VFS dari daftar objek VFS yang dikonfigurasi di baris 'objek vfs' di konfigurasi Samba smb.conf.”

Admins juga dapat mengubah pengaturan default untuk modul buah:metadata atau buah:sumber daya, tetapi Samba memperingatkan bahwa ini akan menyebabkan “semua informasi yang disimpan tidak dapat diakses dan akan membuatnya tampak bagi klien macOS seolah-olah informasi tersebut hilang.”

“Hal pertama yang perlu dilakukan perusahaan adalah menerapkan tambalan yang sesuai untuk instalasi Samba yang diketahui, tetapi jenis kerentanan ini adalah lebih sulit untuk dimitigasi sepenuhnya daripada yang terlihat, ”kata Greg Fitzgerald, salah satu pendiri Sevco Security, melalui email. “Bahkan ketika semua instance yang diketahui secara efektif ditambal, itu masih membuat instance yang terlupakan atau ditinggalkan menjadi rentan. Setiap perusahaan memiliki aset TI yang telah rusak.”

Dia menambahkan, “Ini sampai pada titik di mana penyerang sering kali lebih akrab dengan jaringan yang mereka targetkan daripada tim keamanan yang bertugas menjaga jaringan tersebut. Hanya perlu satu instance yang belum ditambal untuk menciptakan peluang bagi pelaku kejahatan untuk mendapatkan bayaran, dan mereka mengandalkan fakta bahwa tim TI dan keamanan tidak dapat membuat inventaris aset TI yang komprehensif dan akurat.”