Samba’ning Active Directory (AD) tizimida yuqori darajali zaiflik aniqlandi

Samba Active Directory (AD) tizimida xavfli zaiflik aniqlangan. Ushbu zaiflik hujumchilarga tizimda imtiyozlarni oshirish va hattoki butun domenni nazorat qilish imkoniyatini berishi mumkin.

Zaiflik CVE-2023-3961 nomi bilan kuzatiladi va Samba versiyalari 4.13.0 va undan keyingi versiyalarda Active Directory tizimi sifatida ishlatilganda yuzaga keladi. Zaiflikning xavfi CVSS v3 bo‘yicha 7.5 ball bilan baholangan, bu jiddiy xavfni anglatadi.

Zaiflikning sababi, Samba tizimi yangi ob’yektlar yaratilganda, ularning kirish huquqlarini noto‘g‘ri sozlashida yotadi. Agar administratorlar yangi ob’yektlar yaratish uchun maxsus huquqlarni o‘rnatgan bo‘lsa, ular bu ob’yektlarning xavfsizlikka ta’sir qiluvchi atributlarini ham o‘zgartirish huquqiga ega bo‘ladi.

Agar hujumchi tizimda maxsus huquqlarga ega bo‘lsa, u yangi yaratilgan ob’yektning xavfsizlik atributlarini o‘zgartirib, o‘z huquqlarini oshirishi mumkin. Boshqacha qilib aytganda, administratorlar ob’yektlarni yaratganida, ular avtomatik tarzda uning «yaratuvchi egasi» bo‘lib qoladi va bu ularga yana ko‘proq huquqlar beradi.

Hujumchi bu zaiflikdan foydalansa, u o‘z huquqlarini oshirib, butun Active Directory tizimiga kirish imkoniyatini qo‘lga kiritishi mumkin. Bu esa, ayniqsa, tashkilotlar uchun jiddiy xavf tug‘diradi.

Samba jamoasi ushbu zaiflikni bartaraf etish uchun quyidagi yangilanishlarni chiqardi:

  • Samba 4.18.3
  • Samba 4.17.9
  • Samba 4.16.13

Administratorlarga imkon qadar tezroq ushbu yangilanishlarni o‘rnatish tavsiya etiladi.

Agar yangilanishni darhol o‘rnatish imkoni bo‘lmasa, administratorlarga quyidagilarni amalga oshirish tavsiya etiladi:

  1. Maxsus administrator akkauntlarini diqqat bilan kuzatib borish va ular uchun kirishni cheklash.
  2. Minimal imtiyoz tamoyilini qo‘llash.
  3. Active Directory tizimidagi huquqlarni doim tekshirib borish.

Muhim eslatmalar

  • Ushbu zaiflik faqat Active Directory tizimida ishlatiladigan Samba uchun xavfli.
  • Samba fayl serverlari va domen a’zosi serverlari bu zaiflikdan ta’sirlanmaydi.
  • Red Hat Enterprise Linux kabi ba’zi Linux distributivlari ham ta’sirlanmaydi, chunki ular Samba-ni faqat fayl server sifatida ishlatadi.

Samba AD tizimida imtiyozlarni oshirish xavfi jiddiy muammo. Agar siz Samba AD tizimini ishlatayotgan bo‘lsangiz, bu zaiflikni darhol bartaraf eting. Tizimingizni yangilash, kirish huquqlarini nazorat qilish va xavfsizlik auditlarini muntazam amalga oshirish muhimdir.

Skip to content