Une faille dans Samba permet de prendre le contrôle de votre NAS ?

4

Je vous ai parlé rapidement hier d’une vulnérabilité découverte dans le service Samba, utilisé par tous les systèmes Linux. Cette faille permet à une personne malintentionnée d’exécuter du code sur sa cible avec les droits root (pouvoir suprême mais non divin). Comme nos petits NAS (ce n’est pas la taille qui compte) utilisent le système d’exploitation Linux… ils sont aussi impactés.

pirate jailbreak hack

La faille a été révélée le 23 février et détaillée ici. Elle concerne daemon smbd (Samba). Pour rappel, Samba permet aux NAS de mettre à disposition des fichiers et imprimantes sur un réseau Windows, en mettant en œuvre le protocole SMB/CIFS de Microsoft (rien à voir avec le film). Celui-ci est lancé systématiquement sur tous les boitiers réseau (ce qui est normal mais pas la faille… hein). Aucune authentification n’est nécessaire pour exploiter la vulnérabilité. Comme souvent malheureusement, il s’agit d’un problème au niveau d’un pointer dans une zone mémoire (ou un débordement de mémoire).  Elle permet au méchant pirate d’exécuter un code avec les droits root sur sa cible. Si Samba 4.1 est utilisé, un simple paramètre est à changer “server schannel = yes” dans un fichier de configuration. Pour les autres… (aller allumer un cierge)

Crystal_VirusN’appelez pas la police ou le FBI tout de suite… pas d’affolement. L’attaque doit tout d’abord être exécutée depuis votre réseau local, ce qui limite les risques. Maintenant, si vous avez un PC avec un trojan/virus ou autre malware… le méchant pirate pourrait s’attaquer à votre NAS et ainsi accéder à toutes vos données (photos de vacances en maillot de bain à Hendaye Plage ou encore vos vidéos personnelles avec madame).

Alors on espère que les constructeurs vont vite mettre à jour leur NAS (si impactés). Pour le moment, ils restent plutôt silencieux… sauf du côté de Synology qui a  mis à disposition une version de son logiciel DSM (5.1-5022 Update 3) contenant la correction prémunissant de cette faille… et cela en moins de 10 jours. Chapeau !

ps : désolé pour l’humour du jour 😛

Partager.

A propos de l'auteur

Passionné de nouvelles technologies, je suis un touche-à-tout. Mon smartphone ne me quitte (presque) jamais. Je peux vous parler des NAS pendant des heures.

  • Michael

    Effectivement Synology a été très rapide sur ce coup la 🙂

    PS : j’ai bien aimé l’humour du jour perso, « vos vidéos personnelles avec madame » ^_^

  • Damien Telle

    ASUSTOR : c’est fait 🙂

    • Fx

      Merci Damien… Bonne nouvelle !

  • Spartanineo

    « photos de vacances en maillot de bain à Hendaye Plage ou encore vos vidéos personnelles avec madame » Sa y ai, on sait ce que Fx stocke dans son nas 🙂

Lire les articles précédents :
WD lance 4 nouveaux NAS My Cloud : EX2100, EX4100, DL2100 et DL4100

NAS My Cloud EX2100/EX4100 et My Cloud DL2100/DL4100 Depuis maintenant 3 ans, le marché du NAS progresse... On ne peut pas parler de...

Fermer