Samba: Exécution de code arbitraire à distance ciblant les dispositifs IoT et NAS

CERT.be Alerte #2017-003

Référence : CERT.be – Avis #2017-003
CVE ID: CVE-2017-7494
Systèmes Concernés: Les versions de Samba 3.5.0 et postérieures
Date de la première version du document: 20 Juillet 2017
Date de la dernière version du document: 20 Juillet 2017
Version du document: 1.0

Risques

Des attaquants exploitent cette vulnérabilité afin d’obtenir des accès root et de prendre contrôle de l’appareil.

Résumé

Un nouveau logiciel malveillant utilise la même vulnérabilité du protocole SMB qui était utilisé par le malware Wannacry. La spécificité dans cette situation est que l’Internet des Objets et les serveurs de stockage réseau sont ciblées. D’autres architectures CPU sont également ciblées tels que: MIPS, ARM et PowerPC.
La vulnérabilité permet à un attaquant le chargement d’un fichier sur un stockage réseau partagé disposant de droits d’écriture impliquant le serveur à l’exécuter. Si exploité avec succès, l’attaquant pourrait invoquer une ligne de commande sur le dispositif vulnérable et en prendre le contrôle.
La vulnérabilité exploitée a déjà fait l’objet de correctifs en mai 2017. Cependant, si Samba est activé et que les fabricants n’ont pas envoyé les correctifs, alors les détenteurs d’appareils vulnérables sont invités à initier les mises à jours le plus rapidement possible et/ou consulter le site du fabricant.

Actions proposées

Un correctif a été publié pour pallier cette faiblesse et est consultable à l’adresse suivant : https://www.samba.org/samba/security/CVE-2017-7494.html
De plus, les versions suivantes de Samba 4.6.4, 4.5.10 et 4.4.14 ont été publiées pour corriger ce défaut. Des correctifs pour des versions antérieurs de Samba sont également disponibles à : http://samba.org/samba/patches/
Une solution temporaire consiste à ajouter le paramètre:

nt pipe support = no

dans la section [global] du fichier de configuration smb.conf et redémarrer smbd. Cela aura pour effet d’interdire l’accès aux clients aux points de connexions (tubes nommés). A noter que pour les clients Windows, cela peut restreindre certaines fonctionnalités communes.