趋势科技年节期间公开说明其旗下 Zero Day Initiative (ZDI)漏洞悬赏计画,在发现并揭露 Samba 档案分享协定重大漏洞的过程中扮演重要角色,呼吁企业修补相关漏洞为开工日首要任务。
趋势科技威胁情报??总裁 Jon Clay 表示:「前不久才发生 Log4j 漏洞,现在又出现一个新的漏洞,突显出全球资安团队在防范各式各样应用程式与开放原始码软体资安风险方面充满挑战。而趋势科技在举办 Pwn2Own 骇客大赛期间发现了这个新的漏洞,藉此机会和开发人员合作来负责修正并揭露这个漏洞。所幸至目前为止,我们尚未听到任何实际的攻击案例。」
趋势科技Pwn2Own 骇客大赛是一项每年固定在世界各地轮流举办的活动,竞赛项目考验叁赛者发掘常用软体与系统最新漏洞及攻击手法的能力。这是趋势科技 ZDI 漏洞悬赏计画与全球威胁情报团队数千名研究人员为提升客户及全体线上社群网路资安所做的努力之一。
随着企业机构持续迈向数位转型,因而扩大了自身的受攻击面,并更加仰赖软体来运作 (尤其是开放原始码软体),前述的努力显得更加重要。
这个最新发现的漏洞 (CVE-2021-44142) 在 CVSS 的漏洞严重性评分为 9.9 分,显示它对企业可能带来的严重冲击。这是一个 Heap 记忆体读写超出边界的漏洞,骇客一旦攻击成功就能从远端以系统管理员 (root) 身分执行任意程式码。
虽然目前网路上还未看到此漏洞的实际攻击案例,但企业必须在骇客开发出攻击程式码之前尽速完成修补,而这段时间已经越来越短。
为此,趋势科技呼吁所有企业机构皆应立即修补 CVE-2021-44142 漏洞或升级至最新的 Samba 版本,叁考趋势科技技术文件上所提供的script检查Linux/unix是否有包含Samba漏洞,另外也可以透过Trend Micro Vision One的Custom Scripts 功能派送到已经安装 Trend Micro Vision One Agent 的电脑上执行检查。