受到Zerologon漏洞的波及,群暉科技也發布了Synology Directory Server的資安公告,並已提供修補,特別的是,該公司安全事件應變組經理李宜謙不僅指出,他們對於產品的修補,同時也提到他們公司內部IT的因應。(iThome檔案照)

關於Zerologon漏洞的影響,除了微軟已在8月11日發布CVE-2020-1472安全性弱點修補因應,後續,我們看到多個軟體平臺也有相關動作,例如,在9月中旬,開源碼檔案伺服器軟體Samba,以及臺灣NAS設備廠商群暉科技,相繼發布了關於Zerologon漏洞的修補公告。

不僅如此,隨著Samba這次的修補,同時也影響到多個Liunx平臺,因此我們在後續這段期間,又陸續看到OpenSUSE、Fedora與Ubuntu等,發布了相關的更新公告。

漏洞存在於通訊協定,因此不只有微軟Windows Server要修補

這次微軟的Netlogon遠端協定的漏洞影響有多大呢?首先,我們看到群暉科技,因為他們在臺灣時間9月17日,已經對旗下Synology Directory Server套件,發布了關於Zerologon的資安公告Synology-SA-20:21,指出這是重大風險,同時釋出相關修補,建議用戶升級至4.4.5-0101以上的版本。

對於這次Samba與群暉為何都受影響的問題,該公司安全事件應變組經理李宜謙表示,由於Samba.org是針對類Unix作業系統與微軟Windows互動的開源實作,而微軟Netlogon遠端協定(MS-NRPC)是Active Directory(AD)伺服器中的核心通訊協定,意即Samba為完成與Windows互動必須實作。

而這次CVE-2020-1472漏洞,因為存在於通訊協定,是通訊協定規格的瑕疵,因此,在這樣的關連之下,不是只有微軟Windows Server受到影響,需要修補,只要是有實作該通訊協定的產品,都需要修補或修改設定檔。舉例來說,有實作AD的網域控制器(Domain Controller),就可能受此弱點影響。

他們同時確認內部IT架構是否受影響,以及評估自家產品風險

特別的是,在我們詢問群暉修補Zerologon漏洞一事之外,他們也提供了身為受影響的設備商與企業用戶,對此漏洞的因應經驗與看法。

以這次事件而言,李宜謙表示,其實涉及了CSIRT與PSIRT的業務範疇。從一開始的掌握漏洞情資,確認內部使用的IT架構是否受影響,再到修正自家產品,迅速釋出安全性更新。

對於多數將微軟AD作為關鍵伺服器的企業而言,面對這樣的資安事件,必須緊急採取應變措施。李宜謙認為,企業若要能夠快速應對,有兩個關鍵因素,一是企業對內部資產的熟悉度,另一是要具備對業界資安資訊的敏銳度。

另一方面,在9月17日,美國電腦網路危機處理暨協調中心(CERT/CC)正式公告弱點資訊,群暉著手確認Zerologon也會影響Samba 4.7以下版本環境,這意謂著也會影響到Synology Directory Server,於是他們立即採取產品安全事件的緊急應變措施,並在24小時內提供更新檔修補。

之所以能及時修補,李宜謙表示,其實他們在8月初此漏洞第一次被揭露時,內部就已著手調查,並評估手上的產品與其密切相關,這是他們CSIRT與PSIRT之間的情資共享。

只不過,當時他們雖然察覺可能有潛在風險,並研究可能的實作方式,但微軟8月的CVE-2020-1472資安公告的細節並不多,因此,直到9月17日CERT/CC公告後,在當日完成修補。

附帶一提的是,對於Synology 的使用者而言,用戶會如何收到修補通知。他說,系統將透過電子郵件及DSM 通知,用戶也可設定套件自動更新功能;此外,在軟體更新發布後,他們的網站上也會有資安公告,供用戶可以透過RSS或電子報方式來接收通知。另外,他們也表示將遵循GDPR規範,目前不會主動監控DSM 使用者軟體更新的狀態。

 相關報導  Zerologon資安風險大解析


熱門新聞

Advertisement