Pesquisadores de segurança identificaram quatro vulnerabilidades críticas no Samba, um popular programa de compartilhamento de arquivos de código aberto.
Novas vulnerabilidades graves no Samba permitem RCE, O mais grave dos quais é CVE-2022-38023
as vulnerabilidades, identificado como CVE-2022-38023, CVE-2022-37966, CVE-2022-37967, e CVE-2022-45141, pode permitir que um invasor ganhe execução remota de código em um sistema vulnerável.
A mais grave das quatro vulnerabilidades, CVE-2022-38023, recebeu uma pontuação CVSS de 9.8 fora de 10, tornando-se uma das vulnerabilidades mais críticas no Samba. Esta vulnerabilidade afeta todas as versões do Samba desde 4.0.0 em diante e pode permitir ataques de execução remota de código.
As outras três vulnerabilidades, CVE-2022-37966, CVE-2022-37967, e CVE-2022-45141, receberam uma pontuação CVSS de 7.5, 7.2, e 7.2, respectivamente. Esses problemas afetam as versões do Samba de 4.0.13 em diante, e também pode permitir que um invasor execute ataques de execução remota de código em sistemas expostos.
As organizações que executam o Samba são aconselhados a atualizar seus sistemas o mais rápido possível. O projeto Samba lançou atualizações de segurança para lidar com essas vulnerabilidades, e essas atualizações devem ser aplicadas o mais rápido possível para minimizar o risco de exploração.
Essas falhas de segurança são mais um lembrete da importância de manter os sistemas atualizados com os patches de segurança mais recentes. As organizações devem garantir que tenham um processo em vigor para verificar regularmente e aplicar atualizações de segurança aos seus sistemas em tempo hábil.
Problemas do Samba detectados anteriormente
Vulnerabilidades anteriores do Samba que valem a pena mencionar em termos de gravidade incluem:
- CVE-2017-7494 – Um bug RCE na implementação SMB do Samba (2017).
- CVE-2018-1050, CVE-2018-1057 – Isso pode permitir que usuários remotos sem privilégios realizem ataques DoS contra os servidores visados (2018).
- CVE-2021-44142 – Um problema de leitura/gravação de heap fora dos limites no módulo VFS (2022).