米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月9日(米国時間)、「Samba Releases Security Updates|CISA」において、オープンソースのネットワークファイル共有ソフトウェアである「Samba」に複数の脆弱性が報告されており、開発チームがセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を利用されると、悪意を持った第三者によって影響を受けたシステムで特権の昇格や認証などの攻撃が行われる危険性がある。
今回報告されている脆弱性は8件あり、それぞれ以下のアドバイザリに詳細がまとめられている。
- CVE-2016-2124: SMB1 client connections can be downgraded to plaintext authentication
- CVE-2020-25717: A user in an AD Domain could become root on domain members
- CVE-2020-25718: Samba AD DC did not correctly sandbox Kerberos tickets issued by an RODC.
- CVE-2020-25719: Samba AD DC did not always rely on the SID and PAC in Kerberos tickets.
- CVE-2020-25721: Kerberos acceptors need easy access to stable AD identifiers (eg objectSid)
- CVE-2020-25722: Samba AD DC did not do suffienct access and conformance checking of data stored.
- CVE-2021-3738: Use after free in Samba AD DC RPC server
- CVE-2021-23192: Subsequent DCE/RPC fragment injection vulnerability
影響を受けるバージョンはそれぞれ次のとおりとなっている。
- CVE-2016-2124: Samba 3.0.0 から 4.15.1
- CVE-2020-25717: Samba 3.0 以降のすべてのバージョン
- CVE-2020-25718: Samba 4.0.0 以降のすべてのバージョン
- CVE-2020-25719: Samba 4.0.0 以降のすべてのバージョン
- CVE-2020-25721: Samba 4.0.0 以降のすべてのバージョン
- CVE-2020-25722: Samba 4.0.0 以降のすべてのバージョン
- CVE-2021-3738: Samba 4.0 以降のすべてのバージョン
- CVE-2021-23192: Samba 4.10.0 以降のすべてのバージョン
悪用されることによって想定される被害は脆弱性によって異なるが、8件中7件は認証に関連する問題であり、放置すればドメイン全体を危険にさらすおそれがある。それぞれ脆弱性に対処するためのパッチと、それを適用した修正バージョンがリリースされている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティアドバイザリを確認した上で必要なアップデートと回避策を適用することを推奨している。