Samba 漏洞 CVE-2021-44142 分析與修補

趨勢科技 TrendMicro 漏洞

本文說明 Samba 最新的漏洞以及如何防範系統遭駭客經由此漏洞駭入。

前不久,在趨勢科技 Zero Day Initiative (ZDI) 舉辦的  Pwn2Own Austin 2021 駭客大賽上,參賽者揭露了一個 Samba 軟體的記憶體讀寫超出邊界 (OOB) 漏洞。會後,ZDI 針對這個漏洞做了進一步的研究之後,又發現了幾個該漏洞的變體,接著便將研究發現通報給 Samba 開發團隊。雖然我們目前尚未看到任何利用此漏洞 ( CVE-2021-44142) 的攻擊,但這個漏洞的 CVSS 嚴重性等級達到 9.9 分 (根據我們通報的三個變體)。駭客若能成功攻擊此漏洞,就能從遠端以系統管理員 (root) 身分執行任意程式碼。凡是安裝了 Samba 軟體並使用虛擬檔案系統 (VFS) 模組「vfs_fruit」的電腦都受到影響。Samba 已經釋出所有相關的修補更新來防範此漏洞可能帶來的攻擊。趨勢科技的客戶目前都安全無虞,此外也可採用手動方式來解決此漏洞。

何謂 Samba?


Samba 是一套用來與 Windows 系統互通的軟體,它實作了 Windows 的 Server Message Block (SMB) 網路檔案與列印服務功能,可在絕大多數的 Unix 和類 Unix 系統 (如 Linux 及 macOS) 系統上執行,為所有使用 SMB/Common Internet File System (CIFS) 通訊協定的用戶端提供檔案與列印服務。如此一來,網路系統管理員就能將非 Windows 電腦整合至 Windows 環境整合,擔任網域控制器 (DC) 或一般的網域成員。

何謂 CVE-2021-44142?


CVE-2021-44142 是 Samba 軟體的一個漏洞,可讓駭客從遠端執行任意程式碼。更精確一點來說,此漏洞是出現在 Samba 伺服器程式「smbd 」開啟檔案並解析 EA metadata 的程式碼。經由此漏洞,駭客就能以 root 身分執行程式碼,甚至不需經過認證。

雖然我們分析的版本 (smbd 4.9.5) 並非最新版本,但正如 Pwn2Own 2021 駭客大賽時所見,有不少廠商的產品內建的都是這個或更早的伺服器版本。而且這些產品會預設啟用 Samba 來讓不同裝置之間能夠分享檔案與互通,尤其是開放原始碼的 NetaTalk。NetaTalk 是一個實作 Apple Filing Protocol (AFP) 通訊協定以支援 Apple 裝置的免費檔案伺服器軟體。如同 Samba 團隊的公告指出,只要 vfs_fruit 的組態使用的是預設值以外的設定,就不會受到此漏洞影響。

受影響的對象為何?


Samba 已針對此漏洞釋出修補更新原始程式碼,此外也修正了一些他們接獲通報的其他漏洞。Samba 提到此漏洞對所有 4.13.17 以前的 Samba 版本都有影響。他們目前已釋出了 Samba 4.13.17、4.14.12 和 4.15.5 等版本來修正這個漏洞, 並建議系統管理員應盡速升級到這些版本,或套用修補更新。除此之外,網路儲存 (NAS) 裝置也可能受到此漏洞影響,所以未來廠商應該也會針對自家的裝置釋出一些更新。根據 Samba 的廠商清單顯示,目前可能受此漏洞影響的包括通訊、能源、政府機關、製造、科學研究以及科技等關鍵產業,此外也包括一些消費性裝置,如家電和物聯網 (IoT) 裝置。

如何防範 Samba 漏洞?


Samba 在今年 1 月已經釋出 修補更新並建議系統管理員盡速套用對應的更新。雖然他們也建議可以將 fruit VFS 模組從 vfs 物件程式碼中移除來暫時解決此問題,但這樣做會嚴重影響 macOS 系統存取伺服器上的資料。因此,我們建議系統管理員最好還是盡快測試並部署上述修補更新來解決此漏洞。此外,ZDI 也指出,許多不同廠商都可能需要更新自家裝置 (如 NAS) 內建的 Samba 版本,因此可預見未來還會有更多修補更新出現。

Samba 是否曾經被用於攻擊?


之前的 Samba 版本 (如 3.6.3 和更早版本) 已知含有一些資安問題可能讓未經授權的使用者利用 Samba 的遠端程序呼叫漏洞透過匿名連線取得系統管理員權限。除此之外還有其他通報過的漏洞還有:

  • 2016 年,Windows 和 Samba 接獲了一個名為「Badlock」的漏洞通報 (編號:CVE-2016-2118,等級:重大),此漏洞可讓駭客利用 MS-SAMR 和 MS-LSAD 通訊協定發動中間人 (MiTM) 攻擊。  
  • 2017 年 Samba 被發現一個遠端程式碼執行漏洞叫作「EternalRed」或「SambaCry」(編號:CVE-2017-7494,等級:重要),此漏洞影響 3.5.0 開始的所有版本。NamPoHyu 勒索病毒就是攻擊此漏洞的家族之一。
  • 2020 年,一個 Netlogon 的概念驗證漏洞「Zerologon」被發現 (CVE-2020-1472,等級:重大)。此漏洞可讓駭客使用 MS-NRPC 通訊協定與網域控制器建立一個 Netlogon 安全通道連線來提升權限。2020 年 8 月,美國所有使用此軟體的聯邦機構都被下令安裝修補更新。

由於 Samba 是使用 Windows SMB 通訊協定的不同平台之間互通時所用的標準軟體,因此系統管理員應特別注意自己的檔案、印表機與存取共用等資料流量。此外,由於 Windows SMB 是一種遠端服務所用的通訊協定,因此也可能被駭客用來在企業網路內部遊走,或者當成入侵其他連網系統的跳板。所以,建議系統管理員應採用一些解決方案來監控及掃描使用到「vfs_fruit」的網路流量。

趨勢科技解決方案


趨勢科技已發表一篇知識庫文章來說明這項資安問題。除了安裝廠商釋出的修補更新之外,趨勢科技也提供了一些補強規則、過濾條件與偵測資訊來強化趨勢科技的資安防護,提供一道額外的保障來防範利用此漏洞的攻擊元件。

原文出處:The Samba Vulnerability:What is CVE-2021-44142 and How to Fix It

相關文章:

什麼是零時差漏洞 (Zero-Day Vulnerability)? 有哪些漏洞攻擊手法?
BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式
《IOT 》Mirai 變種利用13種漏洞攻擊路由器等裝置