삼바에서 원격으로 악용될 수 있는 위험한 취약점이 발견되었습니다.

널리 사용되는 파일 공유 도구인 Samba는 특히 서로 다른 운영 체제에서 파일 공유에 액세스해야 하는 혼합 시스템 환경에서 확고한 입지를 다지고 있습니다. NFS와 마찬가지로 호환성, 가용성, 그리고 가장 중요한 보안에 대한 명성이 높습니다.

삼바와 같은 유명 서비스는 공격자들의 매력적인 표적이 되고 있으며, 이러한 서비스에서 발견된 취약점은 종종 CVE 발표와 관련된 소음에 가려져 광범위한 결과를 초래할 수 있습니다. 최근 삼바에 영향을 미치는 취약점 중 하나인 CVE-2021-44142는 다른 취약점보다 더 큰 영향을 미칩니다. 이 취약점은 원격 코드 실행을 유발할 수 있는 원격 익스플로잇이 가능한 벡터입니다. Log4j를 기억하시는 분 계신가요?

4.13.17 이전 버전의 모든 삼바가 영향을 받습니다. TuxCare의 Lifecycle 연장 지원 팀은 영향을 받는 CentOS 8.4, 8.5 및 Ubuntu 16.04에 대한 패치를 릴리스했습니다.

여기서 발견된 취약점에 대한 Samba 프로젝트의 자체 설명에 따르면 원격 공격자가 범위를 벗어난 힙 읽기/쓰기를 트리거할 수 있으며, 이로 인해 임의의 코드가 루트로 실행될 수 있다고 합니다. 결함은 vfs_fruit라는 VFS 모듈에 있습니다.

Samba는 플러그인 또는 모듈 시스템에 의존하여 지원되는 프로토콜에 대한 확장 기능을 활성화하거나 새로운 기능을 추가하여 추가 동작을 구현합니다. Vfs_fruit는 Apple SMB 클라이언트에 대한 확장 속성 메타데이터 지원을 추가하는 모듈 중 하나입니다. 사용자가 파일의 확장 속성에 대한 쓰기 권한이 있는 경우 이러한 확장 속성을 조작하여 결함이 트리거되도록 할 수 있습니다.

사용 중인 환경에 Apple SMB 클라이언트가 없거나 vfs_fruit 모듈이 제공하는 기능이 필요하지 않은 경우, smb.conf를 편집하고 "vfs 객체"에 대한 구성 줄에서 "과일" 항목을 제거하여 구성에서 제거할 수 있습니다. 이렇게 하면 이러한 확장 속성에 대한 지원이 실제로 비활성화되어 macOS 클라이언트가 이 정보를 비어 있는 것으로 표시하는 명백한 부작용이 있습니다. 이러한 결과가 허용되는 경우 이 해결 방법을 사용하면 VFS 모듈 문제를 피할 수 있습니다.

그러나 이 기능을 사용하는 경우 가능한 한 빨리 Samba를 실행하는 시스템에 패치를 적용해야 합니다. 원격으로 익스플로잇할 수 있는 공격 벡터를 가지고 있기 때문에 이 취약점은 최근 몇 달 동안 가장 높은 보안 점수를 받은 취약점 중 하나입니다. 예를 들어, Redhat은 이 취약점에 10점 만점에 9.9점을 부여했습니다 (CVSS v3).

일부 시스템 관리자는 이 모듈을 한 번도 사용하지 않고 몇 년을 보낼 수도 있지만, NAS 및 스토리지 시스템과 같은 혼합 시스템 환경에서 작동하도록 구축된 장치 및 어플라이언스에는 기본적으로 이 모듈이 포함되어 있고 사용하도록 설정되어 있습니다. 이러한 장치에 사용할 수 있는 패치가 없는 경우 특정 펌웨어 업데이트가 필요할 수 있으므로 최소한 위에서 설명한 해결 방법을 적용하여 smb.conf를 직접 수정할 수 있는 경우 이를 고려해야 합니다.

언제나 그렇듯이 TuxCare Lifecycle 연장 지원 팀은 서비스 사용자에게 영향을 받는 엔터프라이즈 Linux 시스템에 대한 패치를 제공하고 있습니다. 특히 CentOS 8.4, 8.5 및 Ubuntu 16.04에는 이미 패치가 제공되고 있습니다.

TuxCare의 Lifecycle 연장 서비스에 대해 자세히 알아보고 지원 중단 시스템을 원활하고 안전하게 운영하면서 규정 준수 요건을 충족하는 데 어떻게 도움이 되는지 자세히 알아보려면 여기에서 자세한 정보를 확인하세요.