Si usas un servidor Linux para compartir directorios y archivos, querrás asegurarte de que haces todo lo que puedas para prevenir a gente como SambaCry. Aquí hay algunos consejos.
Ya has oído hablar de WannaCry, un ataque de rescate que puede bloquear datos en máquinas Windows. Este exploit en particular viene a través de una vulnerabilidad SMB. Naturalmente, si usas Linux conoces Samba; pero también sabías eso, según CVE-2019-7494:
Todas las versiones de Samba a partir de la versión 3.5.0 son vulnerables a una vulnerabilidad de ejecución de código remoto, lo que permite a un cliente malicioso subir una biblioteca compartida a un recurso compartido de escritura y, a continuación, hacer que el servidor la cargue y ejecute.
Más información sobre redes
Para cualquiera que tenga que administrar servidores Samba, probablemente quiera saber qué se puede hacer, inmediatamente, para evitar que esta vulnerabilidad afecte a sus sistemas. Afortunadamente, Debian ya ha publicado un parche para este problema (ver DSA-3860-1 samba) y el parche oficial de Samba se puede encontrar aquí. Mientras esté ejecutando la versión Debian de Samba >= 2:4.2.14+dfsg-0+deb8u6, o Samba 4.6.4, 4.5.10, o 4.4.14, está listo para empezar.
Pero, ¿qué más puedes hacer para proteger mejor tus acciones de Samba? Tengo dos consejos que serán de gran ayuda para evitar que gente como SambaCry tome nota de tus datos.
Nunca abra sus acciones al público
Las acciones de Samba nunca deben ser puestas a disposición del público. Si está compartiendo directorios con SMB, esos recursos compartidos sólo deben estar disponibles para su LAN privada. Hay una opción muy útil que se puede usar en el archivo /etc/samba/smb.conf que funciona para restringir las conexiones desde ciertas direcciones IP. Si agrega los hosts allow = IP_ADDRESS (Donde IP_ADDRESS es una sola dirección o un rango de direcciones), puede limitar fácilmente las conexiones a sus recursos compartidos Samba a su LAN interna. Supongamos que necesita limitar las conexiones a toda su red 192.168.1.x. Para lograr esto, agregue la siguiente línea bajo la sección Networking en el archivo /etc/samba/smb.conf:
hosts allow = 192.168.1.
Guarda y cierra el archivo y luego reinicia Samba.
Si sabe de direcciones IP que han intentado violar su red, puede hacer uso de la opción deny =:
hosts deny = X.X.X.X.X
Donde X.X.X.X.X.X es una dirección IP real que necesita bloquear.
También puedes combinarlos así:
hosts deny = ALLhosts allow = 192.168.1.
Lo anterior bloquearía todas las direcciones, excepto las definidas en los hosts allow statement.
Desactivar SMBv1
Otra cosa que puede hacer es deshabilitar SMBv1 en sus servidores Linux que comparten a través del protocolo SMB. Para ello, abra el archivo /etc/samba/smb.conf para editarlo y añada las siguientes sentencias al final de la sección[global]:
server min protocol = SMB2_10client max protocol = SMB3client min protocol = SMB2_10
Una vez que hayas añadido esa línea, guarda y cierra el archivo, y reinicia Samba con el siguiente comando:
sudo systemctl reiniciar smbd
La adición de las declaraciones anteriores no debe impedir que sus clientes se conecten a sus acciones. Sin embargo, si tiene clientes Windows XP, pueden presentar problemas.
Actualizar, actualizar, actualizar
Recuerde, WannaCry ataca una vulnerabilidad en la implementación de Windows del protocolo SMB, no el protocolo en sí. Debido a esto, la implementación de Linux del protocolo SMB es inmune al ataque. Esto sólo se aplica a esta cepa particular del malware. Quién dice que una nueva versión del ataque no se encontrará en la naturaleza para afectar a los sistemas Linux. Para ello, debe asegurarse de mantener todos sus sistemas actualizados, ya sean Windows, Linux o Mac. Mantener sus servidores y clientes tan actualizados como sea posible le ayudará mucho a evitar que se vea atrapado por una vulnerabilidad. Sí, puede ser una molestia, pero sucumbir a gente como WannaCry es mucho más problemático que una actualización.
Haz todo lo que puedas
Esta no es una solución perfecta, y es sólo cuestión de tiempo antes de que un trozo de código malicioso también elimine SMBv3. Aún así, debe ser diligente y hacer todo lo que esté a su alcance para prevenir tal ataque. Con un poco de trabajo, puedes ayudar a asegurar que tus acciones de Samba no caigan en manos de gente como SambaCry.
Boletín Semanal de Código Abierto
No se pierda nuestros consejos, tutoriales y comentarios sobre el sistema operativo Linux y las aplicaciones de código abierto. Entregado los martes