El SOC de Infordisa ha reportado varias violaciones de seguridad por ataques de tipo ransomware a diferentes organizaciones. Los ataques se han ejecutado en las últimas horas de forma coordinada y han afectado concretamente a varios sistemas NAS de Synology.
Concretamente la vulnerabilidad explotada es la CVE-2021-44142.
Con esta explotación, aunque las copias estén en un recurso de red “//URL” protegida por contraseña, si utilizan SAMBA se han visto comprometidas.
Descripción
CVE-2021-44142 es una vulnerabilidad que permite a los atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Samba.
Samba es un conjunto de software de interoperabilidad estándar integrado en Windows.
La brecha específica existe en el análisis de los metadatos de EA en el daemon del servidor smbd al abrir un archivo. Un atacante puede abusar de esta vulnerabilidad para ejecutar código en el contexto raíz, incluso sin autenticación.
Solución
Samba ya publicó el parche de código fuente para esta brecha el 31 de enero, junto con las otras vulnerabilidades que les fueron reveladas.
Synology tambíen publicó las versiones de su software DSM (Disk Station Manager) afectadas por dicha vulnerabilidad y los updates de seguridad a aplicar.
Producto | Severidad | Disponibilidad |
DSM 7.0 | No afectada | N/A |
DSM 6.2 | Importante | Upgrade to 6.2.4-25556-4 or above. |
DSMUC 3.1 | No afectada | N/A |
VS960HD | No afectada | N/A |
SRM 1.2 | No afectada | N/A |
Samba también anunció que esta vulnerabilidad afecta a todas las versiones de Samba anteriores a la 4.13.17. Además, se han publicado comunicados de seguridad para corregir dicha brecha para Samba 4.13.17, 4.14.12 y 4.15.5, aconsejando a los administradores que actualicen estas versiones y apliquen el parche inmediatamente.
Samba también ha aconsejado eliminar el módulo fruit VFS de las líneas de objetos vfs como solución.
