Lỗ hổng CVE trong subsystem in ấn của Samba, theo dõi với mã CVE-2026-4480, cho phép kẻ tấn công chưa xác thực thực thi mã từ xa remote code execution (RCE) trên hệ thống bị ảnh hưởng. Thông tin chi tiết có thể tham khảo thêm tại Samba Security Advisory.
CVE nghiêm trọng này được chấm CVSS v3.1: 10.0, phản ánh mức độ tác động tối đa và khả năng khai thác cao. Trong môi trường an toàn thông tin, đây là kiểu lỗi cần ưu tiên vá ngay vì có thể dẫn đến chiếm quyền điều khiển từ xa.
Lỗ hổng CVE trong cấu hình print command của Samba
Samba là thành phần được dùng rộng rãi cho dịch vụ file và print trên hệ thống Linux và Unix. Lỗ hổng xuất hiện khi Samba được cấu hình với tùy chọn “print command” có chứa tham số thay thế %J.
Tham số này truyền trực tiếp chuỗi mô tả print job do client kiểm soát vào lệnh shell, nhưng không thoát ký tự đặc biệt đúng cách. Điều đó tạo điều kiện cho command injection, từ đó dẫn tới remote code execution.
Cách khai thác
Theo mô tả kỹ thuật, Samba không lọc các shell meta characters nằm trong biến %J. Kẻ tấn công có thể tạo một print job độc hại chứa lệnh shell tùy ý, sau đó các lệnh này được server thực thi.
Vì nhiều triển khai Samba cho phép guest users gửi print job theo mặc định, việc khai thác không yêu cầu xác thực. Điều này làm tăng đáng kể bề mặt tấn công và rủi ro bảo mật.
Điều kiện bị ảnh hưởng
- Samba có cấu hình “print command” sử dụng tham số %J.
- Hệ thống cho phép gửi print job, bao gồm cả guest access trong một số triển khai.
- Không áp dụng cho các cấu hình dùng “printing = cups” hoặc “printing = iprint”.
- Máy chủ không chèn %J vào cấu hình print command sẽ không bị ảnh hưởng.
Ảnh hưởng hệ thống khi bị khai thác lỗ hổng CVE
Khi bị khai thác thành công, kẻ tấn công có thể đạt remote code execution trên hệ thống Samba. Trong môi trường doanh nghiệp, hậu quả thường bao gồm rò rỉ dữ liệu, di chuyển ngang trong mạng nội bộ, hoặc triển khai mã độc ransomware.
Lỗi này đặc biệt nguy hiểm với các môi trường còn dùng cấu hình Samba cũ hoặc đang mở dịch vụ in ấn ra ngoài phạm vi tin cậy. Đây là một lỗ hổng zero-day theo nghĩa rủi ro khai thác ngay khi chưa vá, cho tới khi bản sửa lỗi được áp dụng rộng rãi.
Bản vá bảo mật và phiên bản đã sửa
Nhóm nghiên cứu từ SafeBreach, ZeroPath và Securin Labs đã độc lập báo cáo vấn đề. Samba Team đã xác nhận lỗ hổng CVE này và phát hành bản vá bảo mật cho các phiên bản sau:
- Samba 4.22.10
- Samba 4.23.8
- Samba 4.24.3
Quản trị viên nên cập nhật bản vá ngay khi có thể hoặc áp dụng các patch chính thức từ trang bảo mật của Samba. Với một CVE nghiêm trọng như vậy, trì hoãn update vá lỗi sẽ làm tăng nguy cơ hệ thống bị xâm nhập.
Biện pháp giảm thiểu tạm thời
Nếu chưa thể vá ngay, có thể giảm rủi ro bằng cách đặt tham số %J trong dấu nháy đơn, ví dụ ‘%J’. Tuy nhiên, đây chỉ là biện pháp hạn chế và không loại bỏ hoàn toàn khả năng tiêm lệnh.
Cách khắc phục hiệu quả hơn là loại bỏ hoàn toàn tham số %J khỏi cấu hình smb.conf trong mục print command.
[global]
printing = bsd
print command = /usr/bin/lpr -r -P%p %s
Trong trường hợp cấu hình đang dùng %J, cần kiểm tra lại toàn bộ chuỗi lệnh để tránh truyền trực tiếp dữ liệu đầu vào không được lọc vào shell. Đây là yêu cầu cơ bản trong bảo mật mạng và an toàn dữ liệu.
Kiểm tra cấu hình Samba để phát hiện tấn công
Quản trị viên nên rà soát các file cấu hình và dịch vụ in ấn liên quan. Việc kiểm tra sớm giúp giảm khả năng phát hiện tấn công muộn sau khi hệ thống đã bị xâm nhập.
grep -RIn "print command\|%J\|printing = cups\|printing = iprint" /etc/samba /usr/local/etc/samba 2>/dev/null
Ngoài ra, cần theo dõi các dấu hiệu bất thường trong hoạt động print job, đặc biệt là các chuỗi lệnh lạ hoặc tham số đầu vào không hợp lệ. Đây có thể là IOC thực tế cho việc khai thác lỗ hổng CVE này.
IOC cần lưu ý
- Print job chứa ký tự shell meta bất thường trong trường %J.
- Lệnh shell phát sinh từ dịch vụ in ấn không khớp hành vi bình thường.
- Hoạt động print job tăng đột biến trên máy chủ Samba.
- Xuất hiện tiến trình con từ dịch vụ in ấn thực thi lệnh ngoài dự kiến.
Với mức CVSS 10.0, lỗ hổng CVE này nên được ưu tiên trong quy trình quản lý cảnh báo CVE và xử lý theo mức khẩn cấp. Các hệ thống công khai dịch vụ in ấn hoặc còn dùng cấu hình legacy cần được kiểm tra ngay để giảm nguy cơ hệ thống bị tấn công.
Việc vá lỗi, loại bỏ cấu hình nguy hiểm và hạn chế guest access là các bước trực tiếp để giảm rủi ro bảo mật từ lỗ hổng CVE này. Trong môi trường giám sát an ninh mạng, cần đưa hành vi bất thường của print subsystem vào danh sách kiểm tra định kỳ để hỗ trợ phát hiện xâm nhập sớm.
