Upozorňujeme na kritickou zranitelnost služby Samba, open-source implementace SMB protokolu v systémech Linux. Zranitelnost CVE-2021-44142 umožňuje vzdálené spuštění kódu bez autentizace na cílovém systému s root oprávněním a byla na škále závažnosti CVSSv3 ohodnocena 9.9/10.
Zranitelné jsou všechny verze Samba před 4.13.17 a nižší, které používají modul „vfs_fruit“ sloužící ke kompatibilitě se systémy MacOS a který je v základní konfiguraci spuštěný. Službu využívají nejen Linuxové distribuce a systémy MacOS, ale též např. síťové disky, tiskárny a IoT zařízení.
Pro verze 4.13.17, 4.14.12 and 4.15.5 byly vydány bezpečností aktualizace, všem správcům těchto systémů doporučujeme jejich bezodkladnou instalaci. Pokud aktualizace není z provozních důvodů možná, lze též zranitelnost mitigovat odebráním modulu vfs_fruit, který ale omezí funkčnost pro MacOS.
Prioritní aktualizaci doporučujeme zejména v systémech, které jsou přímo dostupné z internetu, dle veřejně dostupných zdrojů se v ČR jedná o cca 1500 systémů. Zranitelnost ovšem představuje riziko i ve vnitřní síti, neboť může při získání prvotního neprivilegovaného přístupu poskytnout útočníkům snadnou cestu k eskalaci oprávnění, šíření malwaru v síti a laterálnímu pohybu.
V současné době není evidováno plošné zneužívání zranitelnosti, ani veřejný proof-of-concept. S ohledem na závažnost zranitelnosti lze ale předpokládat, že se veřejně dostupný kód brzy objeví a útočníci začlení tuto zranitelnost do svých postupů.
Bližší informace ke zranitelnosti a postupu aktualizace naleznete v bezpečnostním upozornění na webu Samba.org: https://www.samba.org/samba/security/CVE-2021-44142.html