|
| 보안 경고: Samba Out-of-Bounds Heap R/W 원격 코드 실행 취약점 (CVE-2021-44142)
개요 2022년 1월 31일, Linux/Unix용 표준 Windows 상호운용 제품군인 Samba의 업데이트 버전이 릴리스 되어 세 가지 취약점을 해결했습니다. 가장 심각한 취약점(CVE-2021-44142)은 out-of-bounds heap read/write 취약점으로 원격 공격자가 영향을 받는 버전이 설치된 디바이스에서 Root권한으로 임의 코드를 실행할 수 있는 취약점입니다.
배경 공식 공개에 따르면 vfs_fruit(macOS 상호 운용성을 위해 사용됨)라는 VFS 모듈의 기본 구성을 실행하는 4.13.17 이전의 모든 Samba 버전은 공격에 취약합니다. 공격자는 이미 파일의 확장 속성에 대한 쓰기 액세스 권한이 있어야 하지만 영향을 받는 서버가 이러한 유형의 사용자에 대한 쓰기 액세스를 허용하는 경우 이 사용자는 게스트 또는 인증되지 않은 사용자일 수 있습니다. 이 취약점은 원래 STAR Labs의 Nguyen Hoang Thach와 Billy Jheng Bing-Jhong이 Pwn2Own Austin 2021에서 공개했습니다. Trend Micro Zero Day Initiative의 Lucas Leong은 이 Fix의 부분으로서 Samba에 공개된 취약점의 추가 변종을 발견했습니다. 원래 문제는 DEVCORE의 Orange Tsai에 의해 독립적으로 발견되었습니다.
ZDI블로그 - 취약점에 대한 자세한 기술 https://www.zerodayinitiative.com/blog/2022/2/1/cve-2021-44142-details-on-a-samba-code-execution-bug-demonstrated-at-pwn2own-austin.
Trend Micro Research블로그 - 상위 수준에서 취약점과 그 영향에 대해 설명 https://www.trendmicro.com/en_us/research/22/b/the-samba-vulnerability-what-is-cve-2021-44142-and-how-to-fix-it.html
추가로, ZDI에서 공개한 취약점에 대한 내용은 아래 링크에서 확인하실 수 있습니다. https://www.zerodayinitiative.com/ https://www.zerodayinitiative.com/advisories/ZDI-22-24 https://www.zerodayinitiative.com/advisories/ZDI-22-246 상세 내용 익스플로잇에 대한 방어 무엇보다도 사용자는 공급업체의 패치가 출시되면 적용할 것을 항상 적극 권장합니다. Samba는 이 취약점을 해결하기 위해 업데이트된 버전인 4.13.17, 4.14.12 및 4.15.5를 출시했습니다. 사용자는 특정 배포자의 업데이트된 코드 패키지를 확인해야 합니다. 또는 일반 정보 및 Samba 소스는 https://www.samba.org 에서 찾을 수 있습니다. 수동 해결 방법을 사용할 수 있으며 Samba 구성 파일의 'vfs objects' 행에서 'fruit'를 제거하여 VFS 모듈 설정의 기본 구성을 변경합니다. 그러나 이러한 설정을 변경하면 특히 macOS 클라이언트에서 저장된 정보에 액세스하지 못할 수 있습니다.
트렌드마이크로 대응 트렌드마이크로는 적용해야 하는 공급업체 패치 외에도 관련된 악성 구성 요소에 대한 추가 보호 및 탐지를 제공하는 데 도움이 될 수 있는 몇 가지 추가 규칙, 필터 및 탐지 방어를 출시했습니다.
Preventative Rules, Filters & Detection Trend Micro Cloud One - Workload Security and Deep Security IPS Rules 1011294 - Samba AppleDouble Remote Code Execution Vulnerability (CVE-2021-44142) Trend Micro TippingPoint and Cloud One - Network Security Filters
- 40844 - SMB: Samba vfs_fruit Buffer Overflow Vulnerability (ZDI-22-244)
- 40845 - SMB: Samba vfs_fruit File Extended Attribute Update Policy
트렌드마이크로는 이 취약점과 관련된 잠재적인 익스플로잇 및 동작을 지속적으로 적극적으로 연구하고 취약점에 대한 익스플로잇 시도와 관련될 수 있는 악성 코드를 적극적으로 찾고 있으며 사용 가능한 경우 추가 탐지 및/또는 보호 기능을 추가할 예정입니다. 보호, 조사 및 예방 규칙, 필터 및 탐지에 대한 배경 정보와 세부 정보는 트렌드마이크로의 Business Success Portal에서 제공하는 상세 내용을 참조하십시오. 이 페이지를 통해 관련 조치 또는 패치를 위해 특정 조치가 필요한 사항들을 지속적으로 업데이트하고 있습니다. (https://success.trendmicro.com/solution/000290434)
추가 정보는 트렌드마이크로(support@trendmicro.co.kr) 에 문의하십시오. 감사합니다. |
|
|
| | | | Contact Us: |
| | (주)한국트렌드마이크로 서울특별시 강남구 영동대로 416 KT&G타워 3층 (우 06176) tel. 02-561-0990 fax. 02-561-0660
수신을 원치 않으시면 이메일 수신거부를 클릭하여 주시기 바랍니다.
Copyright © 2022 Trend Micro Incorporated. All rights reserved. | | | |
|
If you no longer wish to receive these emails you may unsubscribe at any time.