Dopo la valanga di tentativi di exploit sulla vulnerabilità di Log4J, un altro prodotto open source potrebbe creare problemi di sicurezza in giro per il mondo: è Samba, software libero da licenza per la gestione del protocollo di rete Smb (Server Message Block), utilizzato per veicolare lo scambio di file tra stampanti in rete e per garantire l’interoperabilità dei servizi di stampa su differenti sistemi operativi.
La scoperta della falla software è in realtà precedente all’ondata di attacchi sui sistemi ospite di Log4J, ma se ne parla adesso perché Trend Micro ha diffuso alcuni dettagli tecnici e ha rivendicato il proprio ruolo nell’identificazione del problema. La vulnerabilità è stata originariamente divulgata durante l’evento Pwn2Own di Austin 2021 da Nguyen Hoang Thach e Billy Jheng Bing-Jhong, ricercatori di Star Labs; anche Orange Tsai di Devcore era giunto alla stessa scoperta. Lucas Leong della Zero Day Initiative di Trend Micro ha poi trovato varianti aggiuntive, che sono state divulgate a Samba come parte della correzione.
Identificato come CVE-2021-44142, il bug si è meritato un punteggio di severità 9,9 su 10 dal momento che, se sfruttato, permette all’attaccante di eseguire codice arbitrario da remoto con privilegi root. Cioè, in sostanza, di prendere pieno controllo del sistema colpito.
“La scoperta di questa vulnerabilità”, ha commentato Salvatore Marcis, Technical Director di Trend Micro Italia, “fa seguito a quella recente di Log4j e mette in evidenza le sfide che molti team di sicurezza in tutto il mondo devono affrontare per mitigare i rischi in una moltitudine di applicazioni e software open source. La buona notizia è che questa vulnerabilità è stata scoperta durante un nostro evento Pwn2Own, e questo ci ha permesso di lavorare con gli sviluppatori per correggerla e divulgarla in modo responsabile. Finora, non abbiamo rilevato attacchi".
La vulnerabilità riguarda tutte le versioni di Samba precedenti alla 4.13.17, dunque è essenziale assicurarsi di aver installato sui sistemi che utilizzano questo software l’ultimo aggiornamento. Samba ha contestualmente pubblicato anche i correttivi per altre due bug di minore gravità.