El SOC d'Infordisa ha reportat diverses violacions de seguretat per atacs de tipus ransomware a diferents organitzacions. Els atacs s'han executat les últimes hores de forma coordinada i han afectat concretament diversos sistemes NAS de Synology.
Concretament la vulnerabilitat explotada és la CVE-2021-44142.
Amb aquesta explotació, encara que les còpies estiguin en un recurs de xarxa “//URL” protegida per contrasenya, si utilitzen SAMBA s'han vist compromeses.
Descripció
CVE-2021-44142 és una vulnerabilitat que permet als atacants remots executar codi arbitrari a les instal·lacions afectades de Samba.
Samba és un conjunt de programari d'interoperabilitat estàndard integrat a Windows.
La bretxa específica existeix amb l'anàlisi dels metadades d'EA al daemon del servidor smbd en obrir un fitxer. Un atacant pot abusar d'aquesta vulnerabilitat per executar codi en el context arrel, fins i tot sense autenticació.
Solució
Samba ja va publicar- el pegat de codi font per a aquesta bretxa el 31 de gener, juntament amb les altres vulnerabilitats que els van ser revelades.
Synology també va publicar les versions del seu programari DSM (Disk Station Manager) afectades per aquesta vulnerabilitat i els updates de seguretat a aplicar.
Producte | Severitat | Disponibilitat |
DSM 7.0 | No afectada | N/A |
DSM 6.2 | Important | Upgrade to 6.2.4-25556-4 or above. |
DSMUC 3.1 | No afectada | N/A |
VS960HD | No afectada | N/A |
SRM 1.2 | No afectada | N/A |
Samba també va anunciar- que aquesta vulnerabilitat afecta totes les versions de Samba anteriors a la 4.13.17. A més, s'han publicat comunicats de seguretat per corregir aquesta bretxa per a Samba 4.13.17, 4.14.12 i 4.15.5, aconsellant als administradors que actualitzin aquestes versions i apliquin el pegat immediatament.
Samba també ha aconsellat eliminar el mòdul fruit VFS de les línies d'objectes vfs com a solució.
