趨勢科技呼籲企業立即修補Samba 開放源碼軟件漏洞
旗下ZDI 在Samba 重大漏洞揭露過程中扮演重要角色
香港 - Media OutReach - 2022年2月7日 - 全球網絡保安方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)再度展現其致力提升數碼世界安全的承諾,旗下 Zero Day Initiative(ZDI)註一漏洞懸賞計劃在發現並揭露 Samba 檔案分享協定漏洞的過程中扮演重要角色,並呼籲企業修補相關漏洞。
趨勢科技威脅情報副總裁 Jon Clay 表示:「不久前才發生 Log4j 漏洞,現在又出現一個新的漏洞,凸顯出全球資訊保安團隊在防範各式各樣應用程式與開放源碼軟件保安風險方面充滿挑戰。而趨勢科技在舉辦 Pwn2Own 黑客大賽期間發現了這個新的漏洞,藉此機會和開發人員合作來修正並揭露這個漏洞。所幸至目前為止,我們尚未聽到任何實際的攻擊案例。」
趨勢科技Pwn2Own 黑客大賽是一項每年固定在世界各地輪流舉辦的活動,競賽項目考驗參賽者發掘常用軟件與系統最新漏洞及攻擊手法的能力。這是趨勢科技 ZDI 漏洞懸賞計劃與全球威脅情報團隊數千名研究人員為提升客戶及全體線上社群網絡保安所做的努力之一。
企業機構持續邁向數碼轉型已擴大了自身的受攻擊面,並更加依賴軟件來運作(尤其是開放源碼軟件),前述的努力顯得更加重要。
這個最新發現的漏洞 (CVE-2021-44142) 在 CVSS 的漏洞嚴重性評分為 9.9 分,顯示它可能對企業帶來的嚴重衝擊。這是一個 Heap 記憶體讀寫超出邊界的漏洞,黑客一旦攻擊成功就能從遠端以系統管理員(root)身分執行任意程式碼。
雖然目前網絡上還未看到此漏洞的實際攻擊案例,但企業必須在黑客開發出攻擊程式碼之前盡速完成修補,而這段時間已經越來越短。
為此,趨勢科技呼籲所有企業機構皆應立即修補 CVE-2021-44142 漏洞或升級至最新的 Samba 版本,參考趨勢科技技術文件上所提供的script檢查Linux/unix是否有包含Samba漏洞,另外也可以透過Trend Micro Vision One的Custom Scripts 功能派送到已經安裝 Trend Micro Vision One 代理程式的電腦上執行檢查。
註一:此漏洞原本是在「Pwn2Own Austin 2021」大賽中由 STAR Labs 的 Nguyen Hoang Thach 和 Billy Jheng Bing-Jhong 所揭露。趨勢科技ZDI 的 Lucas Leong 後來又發現了一些變種,也一併通報給 Samba 修正。此外,還有 DEVCORE 的研究人員蔡政達 (Orange Tsai) 也獨立發現了原本的漏洞。ZDI 是全球最大非限定廠商獨立漏洞懸賞計劃,自 2005 年起便一直為提升軟件安全而努力,持續提供獎勵來鼓勵研究人員發掘並負責任地揭露漏洞給廠商。
關於趨勢科技
趨勢科技為網絡資訊保安方案全球領導廠商,致力建立一個安全的數碼資訊交換世界。憑著 30 多年的資訊保安專業經驗、全球威脅情報與持續不斷的創新,趨勢科技跨雲端、網絡、裝置及用戶端的網絡資訊保安平台隨時守護著全球數十萬家企業機構及數百萬用戶。趨勢科技身為雲端及企業網絡資訊保安領導廠商,我們的平台提供了各種強大的進階威脅防禦技術,專為如 AWS、Microsoft 及 Google 的環境提供最佳化、中央化視野及更快更有效的偵測及回應威脅。趨勢科技共有 7000 多名員工,遍布全球 65 個國家及地區,協助企業機構保護其連網世界。www.trendmicro.com.hk
#趨勢科技