SambaCry ataca de nuevo, y debemos actualizar lo antes posible

El pasado mes de mayo todos pudimos ver cómo WannaCry, un peligroso ransomware, se aprovechaba una vulnerabilidad en el protocolo SMB de Windows e infectaba millones de ordenadores de todo el mundo, incluidas las redes internas de grandes compañías como Telefónica. A pesar de que esta vulnerabilidad en concreto fue solucionada, SambaCry sigue atacando a usuarios de todo el mundo aprovechándose de distintas vulnerabilidades en el protocolo SAMBA, vulnerabilidades que no solo se encuentran en la V1 como la de WannaCry.

Tal como podemos leer en el blog de Trend Micro, una de las últimas vulnerabilidades que pone en peligro los servidores y equipos de los usuarios, conocida como SambaCry, se encuentra en todas las versiones del protocolo SAMBA posteriores a la 3.5.0. Esta nueva vulnerabilidad puede permitir a un atacante subir al servidor una librería maliciosa y, además, hacer que el servidor la cargue y ejecute.

Aunque la vulnerabilidad fue detectada a finales del pasado mes de mayo y el parche lleva ya algún tiempo disponible, muchos de los usuarios, especialmente de sistemas Linux, aún no han actualizado su sistema operativo. Esto ha dado lugar a que varios grupos de piratas informáticos hayan explotado esta vulnerabilidad con el fin de instalar troyanos de forma remota en todo tipo de sistemas y dispositivos Linux (como servidores NAS) que les permitan tomar el control sobre ellos y utilizarlos, por ejemplo, para minar criptomonedas como Bitcoin o la nueva criptomoneda de moda: Ethereum.

La empresa de seguridad hace referencias especialmente a un nuevo malware, llamado SHELLBIND, que ha aumentado en los últimos días considerablemente su actividad. Cuando este malware infecta un sistema, automáticamente abre el puerto 61422 a través del cual toma el control del dispositivo.

Cómo protegernos de esta nueva vulnerabilidad SambaCry

Desde hace ya tiempo, como hemos dicho, existe un parche disponible lanzado precisamente para solucionar esta vulnerabilidad. Sin embargo, debido al aumento exponencial de ataques aprovechándose de SambaCry, es recomendable asegurarnos de que, efectivamente, estamos correctamente protegidos frente a esta vulnerabilidad.

Lo primero que debemos comprobar es que, si utilizamos SAMBA, tengamos instalada la versión las versiones 4.6.4, 4.5.10 o 4.4.14, ya que son las que corrigen esta vulnerabilidad. Si tenemos cualquier versión inferior a las anteriores, nuestro dispositivo, equipo o servidor es vulnerable, y deberíamos buscar un nuevo parche de seguridad lo antes posible.

Además, también podemos mitigar el fallo de seguridad en las versiones antiguas de SAMBA configurando el siguiente parámetro en la sección [global] del fichero de configuración smb.conf:

nt pipe support = no

De todas formas, es mejor instalar la versión más reciente ya que, al desactivar esta función manualmente, es muy probable que algunas funciones, especialmente relacionadas con los clientes de Windows, dejen de funcionar con normalidad.

Además de actualizar SAMBA a las versiones más recientes, es recomendable cerrar el puerto que hemos mencionado anteriormente para evitar que, si nuestro sistema está infectado, siga controlado por los piratas informáticos y, además, buscar e instalar las últimas versiones de los firmware de los dispositivos de ser, sobre todo, servidores NAS y discos duros multimedia.

Ver información original al respecto en Fuente:
https://www.redeszone.net/2017/07/19/actualizar-linux-sambacry/