Descripción: El servidor NFS esta exportando uno o más recursos compartidos sin restricción de acceso (basado en hostname, IP o rango de IP).

CVE: N/A
Factor de Riesgo: Medio
Valor CVSS Base: 5

Solución:

Habilitar NFSv4 en el servidor afectado editando la linea:

NFS_SERVER_VERSMIN=4

En el archivo de configuración:

/etc/default/nfs

Adicional a lo anterior, se deben realizar las siguientes configuraciones:

1. Editar el archivo /etc/hosts.deny, el cual debe contener la siguiente linea:

portmap: ALL

La cual denegara el acceso a cualquier conexión.

2. Mientras están cerradas la conexiones, se debe ejecutar el siguiente comando:

rpcinfo -p

Con el cual se verifican si hay conexiones entrantes en ese momento al servidor. El resultado no entregara ninguna información, o, generara un error

3. Luego de esto, se procede a modificar el archivo /etc/hosts.allow, agregando las ip o segmentos de red a los que se les permitirá el acceso a los recursos NFS:

portmap: SEGMENTO_RED/MASCARA_SUBRED
portmap: IP

Hay que tener en cuenta que portmapper ,y, los archivos /etc/hosts.deny y /etc/hosts.allow, administran y dan los parametros de configuracion para los siguientes servicios:

nfsd

mountd

ypbind/ypserv

rquotad

lockd (nlockmgr)

statd (status)

ruptime

rusers

 

4. Deshabilitar las consultas de root desde los clientes, validando que se encuentre habilitado root_squash (el cual viene habilitado por defecto) en las rutas con las que se presenta la vulnerabilidad.

5. Habilitar la opción nosuid, para evitar que se ejecuten comandos basados en los suid almacenados en passwd relacionados con el usuario root.

6. Si la vulnerabilidad es detectada en una una versión antigua de linux, es necesario que las aplicaciones que se ejecutan desde los clientes, tales como xterm, monten los recursos compartidos con el comando mount con la opcion broken_suid habilitada.

Referencias:

https://www.tenable.com/plugins/index.php?view=single&id=11356

http://www.tldp.org/HOWTO/NFS-HOWTO/security.html

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like