エクスプロイト&脆弱性
Unix系OS向けOSS「Samba」のリモートコード実行の脆弱性(CVE-2021-44142)の対策
2022年1月31日、Unix系OSのコンピュータをWindowsのドメインコントローラやファイルサーバなどとして利用するために導入されるオープンソースソフトウェア「Samba」の更新版がリリースされ、新たな3つの脆弱性に対処しました。
- 【追記情報:2021年2月3日(木)】「「Samba」とは?」「過去に確認されたSambaでの脆弱性リスク」の項目を追加、「推奨される対策、暫定的な緩和策」に一部追記しました。
2022年1月31日、Unix系OSのコンピュータをWindowsのドメインコントローラやファイルサーバなどとして利用するために導入されるオープンソースソフトウェア「Samba」の更新版がリリースされ、新たな3つの脆弱性に対処しました。そのうち最も深刻な脆弱性であるCVE-2021-44142は、ヒープ領域内において境界外読み取り/書き込みが可能となる脆弱性です。これにより、遠隔から攻撃者が影響を受ける端末上でroot権限として任意のコードを実行できる可能性があります。
「Samba」とは?
「Samba」とは、ファイル共有、プリントサービス、ドメインコントローラ、Active Directory機能などのWindowsのネットワーク機能を、LinuxなどのUnix系システムで実現するためのソフトウェア群の呼称です。オープンソースライセンスの下で開発されており、プロトコル「SMB/CIFS(Common Internet File System)」を使用する他のバージョンや、LinuxやmacOSなど、ほとんどのUnixおよびUnix関連システム上でもSambaは動作します。Sambaを使うことで、ネットワーク管理者はドメインコントローラ(DC)やドメインメンバーとして機器の設定、統合、セットアップを介して、Unix系システムのWindowsネットワークへの参加が可能となります。
本脆弱性「CVE-2021-44142」について
Sambaの開発チームがリリースした公式情報によると、vfs_fruit と呼ばれる VFS モジュール (macOS との相互運用に使用) をデフォルト設定で実行している 4.13.17 以前のすべてのバージョンの Samba に脆弱性が存在すると発表がありました。具体的には、Sambaを構成するサービスの中の一つであるサーバデーモン「smbd」における、ファイルを開く際のEA メタデータの解析処理に存在する問題であると説明されています。本脆弱性を悪用するために攻撃者はファイルの拡張属性への書き込み権限をもつユーザとしてアクセスする必要があります。ただし、ファイルの拡張属性への書き込み権限を持っていれば、ゲストまたは未認証のユーザであっても悪用が可能であると説明されています。
なお、この脆弱性は、STAR LabsのNguyen Hoang ThachとBilly Jheng Bing-JhongがPwn2Own Austin 2021で公開したものです。トレンドマイクロの脆弱性発見コミュニティ「Zero Day Initiative」のLucas Leongは、この脆弱性の追加の亜種を発見し、今回の修正の一部としてSambaに開示しました。元の問題は、DEVCOREのOrange Tsai氏も独自に発見しています。
この脆弱性に関する技術的な解説は、以下ブログをご参照ください。
推奨される対策、暫定的な緩和策
公式サイトから既に本脆弱性が修正された「Samba」の更新版がリリースされていますので、パッチを適用して最新版へ更新してください。Sambaはバージョン4.13.17、4.14.12、 4.15.5でこの脆弱性に対処しています。
なお、手動による回避策としては、Samba の設定ファイルの 'vfs objects' 行から 'fruit' を削除し、VFS モジュールの設定をデフォルト値から変更する方法があります。 ただし、これによりmacOSからのファイルアクセスが不可となるリスクがあります。このため、IT管理者はこの脆弱性向けの修正パッチの適用に専念することを推奨します。
また、影響範囲としては、Unix系システムを使用したネットワーク接続ストレージ(NAS)機器などもこの脆弱性の影響を受ける可能性があり、各ベンダがそれぞれの機器向けのアップデートをリリースすることも予想されます。同開発元のベンダーリストによると、今回の脆弱性の影響を受ける可能性のある分野は、通信、エネルギー、政府、製造、科学技術などの基幹産業、さらに家電製品やIoT(Internet of Things)機器などの消費者向けデバイスなどとなっています。
トレンドマイクロ製品への影響
トレンドマイクロ製品における影響の有無は、こちらのページを参照してください。
過去に確認されたSambaでの脆弱性リスク
Sambaの3.6.3より前のバージョンの場合、リモートプロシージャコールを悪用することで不正なユーザが匿名の接続からroot権限を取得できるセキュリティ上の問題が報告されています。その他、以下のような攻撃も過去に報告されています。
- 2016年、WindowsおよびSambaにおいて、SAMR(substitution augmentation, modification, and redefinition)およびLSAD(local security authority domain)のプロトコルを中間者攻撃(MiTM)に悪用可能な脆弱性「Badlock」が存在することが確認されました。この脆弱性は「CVE-2016-2118」として採番され、CVSS v3の深刻度は「緊急」に評価されました。
- 2017年、Sambaにリモートコード実行の脆弱性が存在することが確認され、「EternalRed」や「SambaCry」の名称で呼ばれました。この脆弱性は「CVE-2017-7494」として採番され、CVSS v3の深刻度は「重要」と評価され、3.5.0以降のすべてのバージョンが影響を受けました。また、「NamPoHyu」がこの脆弱性を悪用するランサムウェアファミリーの1つとして確認されていました。
- 2020年、「Zerologon」の名称で呼ばれるNetlogonの脆弱性を悪用する概念実証(PoC)が確認されました。この脆弱性は「CVE-2020-1472」として採番され、CVSS v3の深刻度は「緊急」に評価されました。この脆弱性により、攻撃者は、Netlogonリモートプロトコル(MS-NRPC)を使用してドメインコントローラに脆弱なNetlogonセキュアチャネル接続を確立することで、特権昇格の操作をすることが可能になります。このソフトウェアを使用していた米連邦政府機関には、2020年8月、リリースされた修正パッチのインストールが命じられました。
SambaはMBプロトコルによるシステム相互運用として標準的に使用されていることから、IT管理者は、共有ファイル、プリンタ、アクセス共有のデータ転送を監視する必要があります。リモートサービスに使用されるWindows SMBの場合、攻撃者に悪用され、企業や組織内のネットワーク内を経由して、接続されている他のシステムに拡散させるための起点として悪用される危険性もあります。IT管理者は、vfs_fruitの設定が必要となるすべての通信に対して、監視およびスキャンできるソリューションを有効にすることを推奨します。
トレンドマイクロソリューションによる対策・調査
トレンドマイクロは、ベンダからリリースされた正式パッチに加えて、この攻撃に関連する不正なコンポーネントから保護および検出するために、各ソリューションにおけるルールやフィルタを順次リリースしています。
- Trend Micro Cloud One – Workload SecurityおよびDeep SecurityのIPSルール
- 1011294 - Samba AppleDouble リモートコード実行の脆弱性 (CVE-2021-44142)
- トレンドマイクロのTippingPointとCloud One - ネットワークセキュリティフィルタ
- 40844 - SMB: Samba vfs_fruit Buffer Overflow Vulnerability (ZDI-22-244) Policy
- 40845 - SMB: Samba vfs_fruit File Extended Attribute Update
参考: