Samba corrige una vulnerabilidad crítica RCE que permite ejecución remota de comandos en servidores de impresión

LinuxNoticiasSeguridad

Published:

Reading time: 3 min.

Una nueva vulnerabilidad crítica en Samba encendió las alertas en entornos Linux y Unix que utilizan servicios de impresión compartidos. El fallo, identificado como CVE-2026-4480, podría permitir a atacantes remotos ejecutar comandos arbitrarios explotando una mala sanitización de parámetros dentro del subsistema de impresión de Samba.

La vulnerabilidad afecta configuraciones específicas donde Samba utiliza la opción print command con el parámetro %J, permitiendo inyección de comandos mediante metacaracteres del shell. Administradores de sistemas, equipos DevOps y responsables de infraestructura deberían revisar inmediatamente sus configuraciones y aplicar las actualizaciones de seguridad correspondientes.

¿Qué es Samba y por qué este fallo es importante?

Samba es una de las soluciones más utilizadas para compartir archivos e impresoras entre sistemas Linux, Unix y Windows mediante SMB/CIFS. Está presente en servidores empresariales, NAS, appliances y múltiples distribuciones Linux.

Debido a su integración frecuente en redes corporativas y servicios críticos, una vulnerabilidad RCE en Samba representa un riesgo importante:

  • Ejecución remota de comandos
  • Movimiento lateral dentro de la red
  • Compromiso de servidores Linux
  • Escalada de ataques internos
  • Posible acceso a recursos compartidos sensibles

Detalles técnicos de la vulnerabilidad CVE-2026-4480

Según el advisory oficial del equipo de Samba, el problema reside en cómo el subsistema de impresión procesa descripciones de trabajos de impresión controladas por el cliente.

La vulnerabilidad ocurre cuando:

  • Samba tiene configurado print command
  • El comando utiliza el placeholder %J
  • El contenido recibido no es sanitizado correctamente
  • Los metacaracteres del shell son interpretados directamente

Esto permite que un atacante remoto envíe un trabajo de impresión especialmente manipulado para ejecutar comandos arbitrarios en el servidor.

Configuraciones vulnerables

Los sistemas afectados son principalmente aquellos que:

  • Actúan como servidores de impresión Samba
  • Utilizan configuraciones personalizadas de print command
  • Incluyen %J dentro del comando de impresión

Ejemplo vulnerable:

print command = lpr -r -P %p %s %J

En este escenario, %J puede contener caracteres maliciosos enviados por el atacante.

Sistemas NO afectados

El equipo de Samba confirmó que NO están afectados:

  • Configuraciones con printing = cups
  • Configuraciones con printing = iprint
  • Servidores sin uso de %J
  • Entornos donde %J esté correctamente encapsulado o escapado

Cómo verificar si tu servidor Samba es vulnerable

Puedes revisar rápidamente la configuración activa ejecutando:

testparm -s | grep "print command"

También conviene inspeccionar manualmente:

grep -Ri "print command" /etc/samba/

Si aparece %J, el servidor debe considerarse potencialmente vulnerable.

Mitigación inmediata

1. Actualizar Samba

La recomendación principal es instalar las versiones corregidas publicadas por el proyecto Samba y los vendors Linux.

Sitio oficial:

Samba Security Advisories

2. Eliminar

%J

del print command

Si no es posible actualizar inmediatamente, eliminar temporalmente %J reduce considerablemente el riesgo.

Ejemplo mitigado:

print command = lpr -r -P %p %s

3. Deshabilitar servicios de impresión no utilizados

Muchos servidores Samba mantienen capacidades de impresión habilitadas aunque no las utilicen.

Puedes desactivar la impresión agregando:

load printers = no
disable spoolss = yes

4. Restringir acceso SMB

Aplicar segmentación de red y ACLs ayuda a reducir la superficie de ataque:

  • Limitar acceso SMB a redes internas
  • Bloquear acceso desde Internet
  • Aplicar firewalling sobre puertos 139 y 445
  • Monitorear actividad SMB sospechosa

Distribuciones Linux que podrían verse afectadas

Dependiendo de la versión empaquetada por cada vendor, podrían existir sistemas vulnerables en:

  • Red Hat Enterprise Linux
  • Rocky Linux
  • AlmaLinux
  • Ubuntu
  • Debian
  • SUSE Linux Enterprise Server

Es importante revisar los advisories específicos de cada distribución.

Recomendaciones para equipos DevOps y Sysadmin

Además del parcheo inmediato, este incidente vuelve a demostrar la importancia de:

  • Auditar configuraciones heredadas
  • Evitar comandos shell inseguros
  • Minimizar servicios SMB expuestos
  • Automatizar compliance con Ansible/Terraform
  • Incorporar escaneo continuo de vulnerabilidades
  • Revisar configuraciones legacy de impresión

En muchos entornos empresariales las funciones de impresión quedan habilitadas durante años sin uso real, aumentando innecesariamente la superficie de ataque.

Conclusión

La vulnerabilidad CVE-2026-4480 en Samba representa un riesgo serio para servidores Linux que utilicen funciones de impresión vulnerables. Aunque el fallo depende de configuraciones específicas, el impacto potencial es elevado debido a la posibilidad de ejecución remota de comandos.

La prioridad debería centrarse en:

  • Actualizar Samba inmediatamente
  • Revisar configuraciones print command
  • Eliminar %J si está presente
  • Deshabilitar servicios de impresión innecesarios
  • Restringir exposición SMB

En infraestructuras corporativas, especialmente aquellas integradas con Active Directory o servicios compartidos críticos, este tipo de vulnerabilidades puede convertirse rápidamente en un vector de compromiso lateral dentro de la red.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles