Linux系OSを搭載したコンピューターにWindowsネットワークの機能を実現するためのフリーソフトウェアSambaに新たな脆弱性が見つかり、開発元がソフトウェアアップデートをリリースしました。バージョンアップするか、すでに配布されているパッチを使用して欠陥を修正する必要があります。
家電製品やIoT機器などの端末で利用されている
Sambaは多くの法人のシステムや家電製品・IoT(Internet of Things)機器などの端末に利用されています。発見された脆弱性は3つあり、うちCVE-2021-44142として登録された脆弱性は、共通脆弱性評価システム CVSSの10段階で9.9のスコアとなっており、重大な脆弱性と評価されています。4.13.17より前のすべてのバージョンのSambaに影響があり、リモートで任意のコードが実行されてしまう恐れがあるということです。
この脆弱性は、ハッキングの世界大会「Pwn2Own Austin2021」において、脆弱性リサーチャーグループ「STAR Labs」のNguyễn Hoàng Thạch氏およびBilly Jheng Bing-John氏により明らかにされ、開発元に情報が報告されました。その結果、修正プログラムの開発に至ったということです。また、同様の脆弱性報告が台湾のセキュリティコンサルティングDevCoreのOrange Tsai氏からも開発元に行われているようです。DevCoreと言えば、マイクロソフトエクスチェンジサーバーのゼロディ脆弱性やFortiOSのSSL-VPN機能の脆弱性なども発見したグループです。
セキュリティ研究者のコミュニティZero Day Initiative
今回、Sambaの新たな脆弱性が明らかになった「Pwn2Own Austin2021」は東京を拠点とするサイバーセキュリティ企業のトレンドマイクロが運営しているZero Day Initiativeが開催しているハッキングの世界大会だということです。トレンドマイクロによると、Zero Day Initiativeはソフトウェアの脆弱性を発見するためのコミュニティで、世界中のセキュリティ研究者が参加しています。Zero Day Initiativeは、コミュニティに参加しているセキュリティ研究者から収集した脆弱性情報を、サイバー攻撃者が悪用する前にソフトウェアベンダに連絡して対応を求めたり、情報を公開することでインターネットの安全向上を図っているということです。また、脆弱性情報の公開は、オープンな方針にもとづいて行われており、開発元に情報を提供する際は、発見したセキュリティ研究者の個人情報は本人の希望がない限り提供せず、情報源のプライバシーを厳重に秘だくしているということです。Zero Day Initiativeは、世界の脆弱性研究者の交流とそれら研究者と脆弱性が見つかった製品の開発元とを結ぶ役割を担っていると言えそうです。
イギリスの情報通信技術分野の市場調査会社、オーバムが昨年発表したサイバーセキュリティの脆弱性に関するレポートによると、セキュリティリサーチと脆弱性の公開を行っている世界の主要な11組織が2020年に公開した脆弱性報告は1365件にのぼり、うち6割を超える825件についてはZero Day Initiativeによって報告された脆弱性だということです。またZero Day Initiativeが報告した脆弱性の77%は重要または高レベルの深刻度をもつ脆弱性だったということです。Zero Day Initiativeでは脆弱性を報告する研究者に対し報奨金を提供しており、研究者がZero Day Initiativeに継続して脆弱性を報告することで、より多くの報酬やボーナスを得ることができる仕組みを構築しているようです。
トレンドマイクロによると新たに発見されたSambaの脆弱性を悪用した攻撃は確認されていないということですが、過去にSambaで見つかったリモートコード実行の脆弱性では、脆弱性を悪用するランサムウェアも確認されているということです。トレンドマイクロは「SambaはSMBプロトコルによるシステム相互運用として標準的に使用されていることから、IT管理者は、共有ファイル、プリンタ、アクセス共有のデータ転送を監視する必要があります」と注意を喚起しています。
■出典・参考
https://www.samba.org/samba/history/security.html
https://www.trendmicro.com/ja_jp/about/press-release/2022/pr-20220204-01.html
https://blog.trendmicro.co.jp/archives/30131
https://www.trendmicro.com/ja_jp/about/trendpark/es-direction-zdi-201711-01-01.html
https://www.trendmicro.com/ja_jp/about/topics/2021/nt-20210716-01.html