Samba Issues Security Updates to Patch Multiple High-Severity Vulnerabilities
2022/12/17 TheHackerNews — 12月15日に Samba は、複数の脆弱性を修正するためのソフトウェア・アップデートをリリースした。今回のアップデートでリリースされたバージョン 4.17.4/4.16.8/4.15.13 では、深刻度の高い脆弱性 CVE-2022-38023/CVE-2022-37966/CVE-2022-37967/CVE-2022-45141 に対するパッチが適用されている。Sambaは、Linux/Unix/macOS などの OS 用のオープンソースの Windows 相互運用性スイートであり、ファイルサーバ/プリンタ/Active Directory サービスを提供している。
各脆弱性の概要は以下の通りだ:
- CVE-2022-38023 (CVSS:8.1):NetLogon Secure Channel における脆弱な RC4-HMAC Kerberos 暗号化タイプの使用の脆弱性
- CVE-2022-37966 (CVSS:8.1):Windows Kerberos RC4-HMAC における権限昇格の脆弱性
- CVE-2022-37967 (CVSS:7.2):Windows Kerberos における権限昇格の脆弱性
- CVE-2022-45141 (CVSS:8.1):Heimdal を使用した Samba Active Directory Domain Controller (AD DC) における Kerberos チケット発行時の RC4-HMAC 暗号使用の脆弱性
なお、攻撃者に対して管理者権限の不正な獲得を許してしまう CVE-2022-37966/CVE-2022-37967 は、Microsoft が November 2022 Patch Tuesday updates の一環として公開したものだ。
Microsoft は CVE-2022-37966 について、「未認証の攻撃者は、RFC 4757 (Kerberos 暗号化タイプ RC4-HMAC-MD5)/MS-PAC (Privilege Attribute Certificate Data Structure specification) の暗号プロトコルの脆弱性を悪用して、Windows AD 環境のセキュリティ機能をバイパスする攻撃を可能にする」と述べている。
また、今週に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Siemens/Prosys OPC 製品などに影響を及ぼす、様々な脆弱性に関する 41件の産業制御システム (ICS) アドバイザリを発表している。
一連の脆弱性について、お隣のキュレーション・チームに聞いてみたところ、Samba だけの脆弱性としてレポートしたのは、12月17日の CVE-2022-45141 のみであり、その他の3件は 11月9日の November 2022 Patch Tuesday での発表が先行しているとのことです。なお、文中にある CISA との関連性ですが、調べた範囲では確認できませんでした。Samba の脆弱性に関する 2022年の記事としては、1月31日の「Samba の深刻な脆弱性 CVE-2021-44142:ディフォルト設定での root RCE を FIX」と、11月18日の「Samba の深刻な脆弱性 CVE-2022-42898 が FIX:DoS/RCE による乗っ取りの可能性」があります。
IoT OT Security News 
You must be logged in to post a comment.