Skip to content
Prochain webinaire : Libérez la puissance de la recherche sur Censys avec Em Averton | 27 juin à 13h ET | S'inscrire maintenant
Blogs

CVE-2021-44142 : Exploitation de Samba

Introduction

Samba est un service open-source qui met en œuvre le protocole SMB (Server Message Block), largement déployé depuis des décennies. Plusieurs vulnérabilités liées à Samba ont été annoncées lors d'un récent événement Pwn2Own à Austin, notamment un débordement de tas entraînant l'exécution d'une commande à distance (RCE).

La vulnérabilité se trouve dans un module VFS (Virtual File System) spécifique appelé "vfs_fruit", qui fournit une couche supplémentaire de compatibilité avec les clients de partage de fichiers d'Apple. Ce module a été introduit en juin 2014 et est actif depuis la version 4.2.0 de Samba. Bien que les rapports indiquent que cette vulnérabilité existe dans toutes les versions de Samba antérieures à 4.13.17, il semble peu probable qu'elle existe dans les versions antérieures à 4.2.0, lorsque le module vfs_fruit a été introduit pour la première fois.

Le lecteur doit noter que si un attaquant peut exploiter cette vulnérabilité à distance, des autorisations de lecture/écriture sont toujours nécessaires, ce qui peut inclure des comptes d'utilisateurs anonymes et invités, sur le serveur distant d'une manière ou d'une autre (que ce soit en bande ou hors bande). Zero Day Initiative a rédigé un excellent résumé technique de la vulnérabilité sur son blog pour plus d'informations.

Samba sur Internet

En préambule aux statistiques suivantes, le lecteur doit savoir que si Censys peut voir les versions associées à un service Samba, nous ne pouvons pas déterminer si un service a un accès utilisateur anonyme ou invité activé, ni si le module VFS vfs_fruit est en cours d'exécution sur un serveur individuel. Ces deux éléments sont nécessaires à la réussite de l'exploit.

Carte thermique des hôtes utilisant Samba

Censys trouvés 273 245 services Samba SMB fonctionnant sur l'internet public. Parmi eux, 22 546 hôtes n'avaient aucune version disponible, tandis que seuls 3 464 hôtes avaient une version de Samba supérieure ou égale à 4.2.0. La version la plus répandue, 3.0.37, comptait plus de 180 00 hôtes uniques.. Quant aux versions les plus susceptibles d'être vulnérables, 4.10.4 était la première avec 1 127 hôtessuivie de près par 4.4.16 avec 1 107 hôtes.

Le tableau suivant montre les 17 premières versions de Samba et le nombre d'hôtes que Censys a pu trouver.

Version de Samba Nombre d'hôtes
3.0.37 184,362
Inconnu 22,546
3.3.4 13,874
3.2.9 5,940
3.6.3 5,763
3.0.24 4,926
3.0.28a 3,414
3.6.25 3,151
3.2.15 2,924
3.6.6 2,482
3.0.3 2,139
3.6.23 2,032
3.6.24 1,941
3.0.27a 1,804
3.0.23d 1,659
3.5.6 1,213
4.10.4 1,127

Que puis-je faire ?

  • Pour contourner le bogue, un administrateur peut désactiver vfs_fruit dans le fichier de configuration smb.conf des serveurs
  • Mise à jour vers la version 4.13.17, 4.14.12 ou 4.15.5 de Samba.

Censys ASM a été mis à jour avec de nouvelles empreintes pour identifier les services Samba potentiellement vulnérables.

Solutions de gestion de la surface d'attaque
En savoir plus