Trend Micro趨勢科技於開工日呼籲:企業應立即修補Samba開放原始碼軟體漏洞

雲端資安商Trend Micro趨勢科技再度展現其致力提升數位世界安全的承諾,年節期間公開說明其旗下Zero Day Initiative(ZDI)漏洞懸賞計畫在發現並揭露Samba檔案分享協定重大漏洞的過程中扮演重要角色,呼籲企業修補相關漏洞為開工日首要任務。

Trend Micro趨勢科技威脅情報副總裁Jon Clay表示:「前不久才發生Log4j漏洞,現在又出現一個新的漏洞,突顯出全球資安團隊在防範各式各樣應用程式與開放原始碼軟體資安風險方面充滿挑戰。而趨勢科技在舉辦Pwn2Own駭客大賽期間發現了這個新的漏洞,藉此機會和開發人員合作來負責修正並揭露這個漏洞。所幸至目前為止,我們尚未聽到任何實際的攻擊案例。」

趨勢科技Pwn2Own駭客大賽是一項每年固定在世界各地輪流舉辦的活動,競賽項目考驗參賽者發掘常用軟體與系統最新漏洞及攻擊手法的能力。這是趨勢科技ZDI漏洞懸賞計畫與全球威脅情報團隊數千名研究人員為提升客戶及全體線上社群網路資安所做的努力之一。

隨著企業機構持續邁向數位轉型,因而擴大了自身的受攻擊面,並更加仰賴軟體來運作(尤其是開放原始碼軟體),前述的努力顯得更加重要。

這個最新發現的漏洞(CVE-2021-44142)在CVSS的漏洞嚴重性評分為9.9分,顯示它對企業可能帶來的嚴重衝擊。這是一個 Heap 記憶體讀寫超出邊界的漏洞,駭客一旦攻擊成功就能從遠端以系統管理員(root)身分執行任意程式碼。

雖然目前網路上還未看到此漏洞的實際攻擊案例,但企業必須在駭客開發出攻擊程式碼之前盡速完成修補,而這段時間已經越來越短。

為此,Trend Micro趨勢科技呼籲所有企業機構皆應立即修補CVE-2021-44142漏洞或升級至最新的Samba版本,參考趨勢科技技術文件上所提供的script檢查Linux/unix是否有包含Samba漏洞,另外也可以透過Trend Micro Vision One的Custom Scripts 功能派送到已經安裝Trend Micro Vision One Agent的電腦上執行檢查。

延伸閱讀:
姜丹尼爾攜手蔡秀彬領銜主演!校園浪漫喜劇《警校菜鳥》1/26起Disney+上線
喪屍片還是韓國有看頭 改編自LINE Webtoon的Netflix《殭屍校園》1/28開播

[一文搞懂] 超級好用又免費的密碼管理器《Dashlane》
日系跨界油電休旅 2022 年式 Lexus NX350h 豪華版車型試駕