駭客會利用人們對網站伺服器的依賴來發動各種攻擊,例如:執行遠端程式碼、略過存取控管、阻斷服務,甚至利用受害的伺服器在背後偷挖虛擬加密貨幣。
正當企業才要從 Log4Shell 漏洞 (CVE-2021-44228) 的震撼中回神過來,瞄準開放原始碼網站伺服器 (如 Apache HTTP Server) 的攻擊便席捲而來。駭客利用人們對網站伺服器的依賴來發動各種攻擊,例如:執行遠端程式碼 (RCE)、略過存取控管、阻斷服務 (DoS),甚至利用受害的伺服器在背後偷挖虛擬加密貨幣。
面對駭客的惡意活動,企業單靠及時修補系統仍稍嫌不足。邁入 2022 年,採用一套軟體組成元件分析 (SCA) 解決方案來發掘軟體供應鏈上每一層環節的問題,將是一項不可或缺的要素。
Samba漏洞可能會影響家居網路和NAS設備的安全性。電子郵件地址、信用卡資訊等個人資料可能會因此漏洞所導致的資料外洩而洩露。本文提供一些能夠幫你保護裝置和應用程式免於此漏洞影響的建議。
一月底常用的開源軟體Samba釋出了針對三個漏洞的安全修補程式,這些漏洞發生在所有用預設值執行vfs_fruit(用來跟macOS溝通的VFS模組)的Samba版本。
最嚴重的漏洞為CVE-2021-44142,它的CVSS分數為9.9,是一個越界記憶體堆棧讀寫(out-of-bounds heap read/write)漏洞,能夠讓遠端攻擊者在受影響系統以root權限執行任意程式碼。
不能不提的是,Samba漏洞是在我們的Pwn2Own Austin 2021駭客松活動中發現。正如趨勢科技威脅情報副總Jon Clay所說:
「好消息是這是在我們的Pwn2Own活動中發現,這代表我們有機會與開發者合作,負責任地修補和披露漏洞。」
本文說明 Samba 最新的漏洞以及如何防範系統遭駭客經由此漏洞駭入。
前不久,在趨勢科技 Zero Day Initiative (ZDI) 舉辦的 Pwn2Own Austin 2021 駭客大賽上,參賽者揭露了一個 Samba 軟體的記憶體讀寫超出邊界 (OOB) 漏洞。會後,ZDI 針對這個漏洞做了進一步的研究之後,又發現了幾個該漏洞的變體,接著便將研究發現通報給 Samba 開發團隊。雖然我們目前尚未看到任何利用此漏洞 ( CVE-2021-44142) 的攻擊,但這個漏洞的 CVSS 嚴重性等級達到 9.9 分 (根據我們通報的三個變體)。駭客若能成功攻擊此漏洞,就能從遠端以系統管理員 (root) 身分執行任意程式碼。凡是安裝了 Samba 軟體並使用虛擬檔案系統 (VFS) 模組「vfs_fruit」的電腦都受到影響。Samba 已經釋出所有相關的修補更新來防範此漏洞可能帶來的攻擊。趨勢科技的客戶目前都安全無虞,此外也可採用手動方式來解決此漏洞。
Samba 是一套用來與 Windows 系統互通的軟體,它實作了 Windows 的 Server Message Block (SMB) 網路檔案與列印服務功能,可在絕大多數的 Unix 和類 Unix 系統 (如 Linux 及 macOS) 系統上執行,為所有使用 SMB/Common Internet File System (CIFS) 通訊協定的用戶端提供檔案與列印服務。如此一來,網路系統管理員就能將非 Windows 電腦整合至 Windows 環境整合,擔任網域控制器 (DC) 或一般的網域成員。
【2022 年2月 7 日,台北訊】全球雲端資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 再度展現其致力提升數位世界安全的承諾,年節期間公開說明其旗下 Zero Day Initiative (ZDI)註一漏洞懸賞計畫在發現並揭露 Samba 檔案分享協定重大漏洞的過程中扮演重要角色,呼籲企業修補相關漏洞為開工日首要任務。
更多有關 Samba 漏洞及如何降低其衝擊的資訊,請參閱我們的部落格文章及技術文件。
趨勢科技威脅情報副總裁 Jon Clay 表示:「前不久才發生 Log4j 漏洞,現在又出現一個新的漏洞,突顯出全球資安團隊在防範各式各樣應用程式與開放原始碼軟體資安風險方面充滿挑戰。而趨勢科技在舉辦 Pwn2Own 駭客大賽期間發現了這個新的漏洞,藉此機會和開發人員合作來負責修正並揭露這個漏洞。所幸至目前為止,我們尚未聽到任何實際的攻擊案例。」
繼續閱讀家庭辦公室內各種缺乏資安防護的裝置,在網路犯罪集團的眼裡,可說是唾手可得的目標。這些裝置很可能被駭客入侵之後用來從事犯罪活動,或者當成進一步入侵家庭網路的跳板。
隨著新的技術不斷導入、舊的裝置不斷升級,現代化家庭的生活及工作空間每一年都變得越來越聰明。許多專業人士也因此開始在家工作或者在家透過虛擬方式經營生意。就連國際性的研討會都能從家庭辦公室環境內舉行,大型的專案也能透過線上方式在家管理和指揮,在智慧裝置的協助下,甚至能做到的還更多。只可惜,缺乏資安防護的裝置,在網路犯罪集團的眼裡,可說是唾手可得的目標,可用於從事 犯罪活動 ,或者當成進一步入侵家庭網路的跳板。
駭客之所以這麼努力攻擊智慧家庭裝置,原因在於這類裝置的數量越來越多,而且越來越強大、越來越有價值。正因如此,駭客的攻擊手法會不斷隨著科技進步而演進。今年 11 月在美國德州奧斯汀 (Austin) 舉辦的 Pwn2Own 2021 駭客大賽 (這是一個專門發掘關鍵漏洞好讓廠商能夠加以修補的競賽) 特別突顯出有關家用使用者與遠距工作者的裝置安全問題。一些原本讓企業 IT 人員從家中執行遠端管理的裝置,同樣也能用來存取企業的私密資訊,甚至讓犯罪集團用於攻擊行動。