趋势科技于年节期间公开说明其旗下Zero Day Initiative (ZDI)漏洞悬赏计划在发现并披露Samba文件分享协议重大漏洞的过程中扮演重要角色,呼吁企业修补相关漏洞为开工日首要任务。
趋势科技威胁情报副总裁Jon Clay表示:“前不久才发生Log4j漏洞,现在又出现一个新的漏洞,突显出全球安全团队在防范各式各样应用程序与开放源码软件安全风险方面充满挑战。而趋势科技在举办Pwn2Own黑客大赛期间发现了这个新的漏洞,借此机会和开发人员合作来负责修正并披露这个漏洞。所幸至目前为止,我们尚未听到任何实际的攻击案例。”
趋势科技Pwn2Own黑客大赛是一项每年固定在世界各地轮流举办的活动,竞赛项目考验参赛者发掘常用软件与系统最新漏洞及攻击手法的能力。这是趋势科技ZDI漏洞悬赏计划与全球威胁情报团队数千名研究人员为提升客户及全体线上社群网络安全所做的努力之一。随着企业机构持续迈向数字转型,因而扩大了自身的受攻击面,并更加依赖软件来运行 (尤其是开放源码软件),前述的努力显得更加重要。
这个最新发现的漏洞 (CVE-2021-44142) 在CVSS的漏洞严重性评分为9.9分,显示它对企业可能带来的严重冲击。这是一个Heap内存读写超出边界的漏洞,黑客一旦攻击成功就能从远程以系统管理员 (root) 身份执行任意程序代码。虽然目前网络上还未看到此漏洞的实际攻击案例,但企业必须在黑客开发出攻击程序代码之前尽快完成修补,而这段时间已经越来越短。
为此,趋势科技呼吁所有企业机构皆应立即修补CVE-2021-44142漏洞或升级至最新的Samba版本,参考趋势科技技术文件上所提供的script检查Linux/unix是否有包含Samba漏洞,另外也可以通过Trend Micro Vision One的Custom Scripts功能交付到已经安装Trend Micro Vision One Agent的计算机上执行检查。