Samba 迄 4.4.0 DCE/RPC Badlock 特権昇格

CVSS 一時的なメタスコア現在のエクスプロイト価格 (≈)CTI注目指数
7.3$0-$5k0.00

要約情報

Samba 迄 4.4.0内に 重大 として分類された脆弱性が発見されました。 対象となるのは 不明な関数 コンポーネントDCE/RPC Handlerのです。 引数の操作が、 特権昇格 (Badlock)をもたらします。 この脆弱性は CVE-2016-2118 として扱われます。 リモートで攻撃を実行することが可能です。 影響コンポーネントのアップグレードを推奨します。

詳細情報

Samba 迄 4.4.0内に 重大 として分類された脆弱性が発見されました。 対象となるのは 不明な関数 コンポーネントDCE/RPC Handlerのです。 引数の操作が、 特権昇格 (Badlock)をもたらします。 この脆弱性に対応するCWEの定義は CWE-254 です。 この弱点は発表されました 2016年04月12日 Stefan Metzmacherによって (SerNetとともに) 勧告として (ウェブサイト)。 アドバイザリはbadlock.orgでダウンロードできます。 公開リリースはベンダーと調整されています。

この脆弱性は CVE-2016-2118 として扱われます。 CVEの割り当ては2016年01月29日に行われました。 リモートで攻撃を実行することが可能です。 技術的な詳細は利用できません。 攻撃を成功させるための複雑性が高いです。 悪用は困難だということが知られています。 この脆弱性の普及度は標準を上回っています。 今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1211です。 本アドバイザリによると、次の通りです:

There are several MITM attacks that can be performed against a variety of protocols used by Samba. These would permit execution of arbitrary Samba network calls using the context of the intercepted user.

未定義 として宣言されています。 0dayにはおよそ $25k-$100k の価値があったと予想しています。 アドバイザリでは以下の点が述べられています:

To execute a man in the middle attack requires an attacker to manipulate network traffic in the local network segment of the client or server.
脆弱性スキャナーNessusはID【90495 (RHEL 7 : samba (RHSA-2016:0618) (Badlock))】のプラグインを提供しています。不具合の有無をターゲット環境にて判定できます。 これは分類【Red Hat Local Security Checks 】に割り振られています。 プラグインはlのコンテキストで実行されています。 商用脆弱性スキャナーQualysではプラグイン【 196447 (Ubuntu Security Notification for Samba Vulnerabilities (USN-2950-1) (BADLOCK)) 】を使用してこの問題をテストできます。

バージョン4.2.10, 4.2.11, 4.3.7, 4.3.8, 4.4.1 , 4.4.2にアップグレードすることで、この問題に対処できます。 設定 server signing = mandatory; ntlm auth = no を適用すれば、この問題を軽減できます。 影響コンポーネントのアップグレードを推奨します。 脆弱性が公開されてから すぐに 後に、対策が発表されました。 アドバイザリには以下のようなコメントが記載されています:

Without "server signing = mandatory", man in the Middle attacks are still possible against our file server and classic/NT4-like/Samba3 Domain controller. (It is now enforced on Samba's AD DC.) Note that this has heavy impact on the file server performance, so you need to decide between performance and security. These man in the Middle attacks for smb file servers are well known for decades. Without "ntlm auth = no", there may still be clients not using NTLMv2, and these observed passwords may be brute-forced easily using cloud-computing resources or rainbow tables.

TippingPointとフィルター24259を利用することで、この種の攻撃を検出し、防止することができます。 この脆弱性は他の脆弱性データベースにも記載されています: SecurityFocus (BID 86002), Vulnerability Center (SBV-58135) , Tenable (90495).

製品情報

タイプ

名前

バージョン

ライセンス

ウェブサイト

CPE 2.3情報

CPE 2.2情報

スクリーンショット

CVSSv4情報

VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 7.5
VulDB 一時的なメタスコア: 7.3

VulDB ベーススコア: 7.5
VulDB 一時的なスコア: 7.2
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 7.5
NVD ベクトル: 🔍

CVSSv2情報

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ベクトル複雑さ認証機密性完全性可用性
解除解除解除解除解除解除
解除解除解除解除解除解除
解除解除解除解除解除解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用情報

名前: Badlock
クラス: 特権昇格 / Badlock
CWE: CWE-254
CAPEC: 🔍
ATT&CK: 🔍

物理的: いいえ
ローカル: いいえ
リモート: はい

可用性: 🔍
ステータス: 未定義

EPSS Score: 🔍
EPSS Percentile: 🔍

価格予測: 🔍
現在の価格評価: 🔍

0-Day解除解除解除解除
本日解除解除解除解除

Nessus ID: 90495
Nessus 名前: RHEL 7 : samba (RHSA-2016:0618) (Badlock)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍

OpenVAS ID: 802034
OpenVAS 名前: Ubuntu Update for samba USN-2950-5
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍

Qualys ID: 🔍
Qualys 名前: 🔍

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブなAPTグループ: 🔍

対策情報

推奨: アップグレード
ステータス: 🔍

リアクション時間: 🔍
暴露時間: 🔍

アップグレード: Samba 4.2.10/4.2.11/4.3.7/4.3.8/4.4.1/4.4.2
Config: server signing = mandatory; ntlm auth = no
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS バージョン: 🔍

Fortigate IPS: 🔍

タイムライン情報

2016年01月29日 🔍
2016年04月12日 +73 日 🔍
2016年04月12日 +0 日 🔍
2016年04月12日 +0 日 🔍
2016年04月12日 +0 日 🔍
2016年04月12日 +0 日 🔍
2016年04月12日 +0 日 🔍
2016年04月13日 +1 日 🔍
2016年04月13日 +0 日 🔍
2025年01月27日 +3211 日 🔍

ソース情報

製品: samba.org

勧告: RHSA-2016:0618
調査者: Stefan Metzmacher
組織: SerNet
ステータス: 確認済み
確認: 🔍
調整済み: 🔍

CVE: CVE-2016-2118 (🔍)
GCVE (CVE): GCVE-0-2016-2118
GCVE (VulDB): GCVE-100-82210

OVAL: 🔍

CERT: 🔍
SecurityFocus: 86002 - Samba CVE-2016-2118 Man in the Middle Security Bypass Vulnerability
SecurityTracker: 1035533
Vulnerability Center: 58135 - Samba Multiple Versions Remote Man-in-the-Middle Attack due to Mishandle DCERPC Connections, Medium

その他: 🔍
関連情報: 🔍

エントリ情報

作成済み: 2016年04月12日 22:42
更新済み: 2025年01月27日 06:41
変更: 2016年04月12日 22:42 (89), 2019年02月04日 13:31 (12), 2022年07月13日 18:22 (5), 2022年07月13日 18:30 (1), 2022年07月13日 18:37 (1), 2025年01月27日 06:41 (15)
完了: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

討論

コメントはまだありません。 言語: ja + en.

コメントするにはログインしてください。

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!