Active Directory 컴포넌트를 충돌시킬 수 있는 Samba 취약점 발견

Samba Vulnerability Can Crash Active Directory Components

Samba 소프트웨어에 존재하는 다수의 버그로 인해 공격자들이 디렉터리, 애플리케이션 및 기타 서비스 제공을 담당하는 네트워크의 핵심 프로세스를 충돌시킬 수 있는 것으로 나타났습니다.

이번에 발견된 취약점은 Samba Active Directory Domain Controller의 LDAP(Lightweight Directory Access Protocol)와 RPC(Remote Procedural Call) 서버 프로세스를 충돌시키는데 악용될 수 있습니다.

LDAP 서버 프로세스 충돌

CVE-2019-12436으로 등록된 이슈는 Samba 4.10.5 버전을 제외한, 4.10.0 및 모든 이후 버전에 영향을 미칩니다. 

해당 취약점을 공격자가 악용하기 위해서는 LDAP 서버의 읽기 권한이 필요합니다.

디폴트 Samba 구성에서는 소프트웨어가 연결된 클라이언트 당 하나의 프로세스만을 실행하도록 설정되어 있기 때문에, 공격자와 연결된 세션에서만 공격이 가능합니다.

하지만 이로 인해 기기의 메모리 사용량이 증가하게 됩니다.

Zombie Ryushu가 처음 제보한 이 이슈는 심각도 10점 만점에 6.5를 기록하였으며 페이징된 검색 컨트롤을 사용하여 NULL 포인터 역참조를 유발하고 SAMBA AD DC LDAP 서버 충돌을 일으킬 수 있습니다.

Samba를 업데이트하거나 패치를 적용하면 문제가 해결 가능하나, 즉시 문제 해결이 힘들 경우, "-M" standard로 'samba'를 실행하여 기본 세팅으로 돌아가도록 할 수 있습니다.

RPC 서버 프로세스

CVE-2019-12435로 등록된 두 번째 취약점 또한 NULL 포인터 역참조 취약점입니다. 이 이슈는 Coverity 측이 제보했습니다. 

이 취약점은 Samba 버전 4.9 ~ 4.10에 존재하며 해당 취약점 악용을 위해서는 인증이 필요합니다.

이 버그를 성공적으로 악용할 경우 DNS 관리 서버에서 서비스 거부(DoS) 조건을 발생시킬 수 있습니다.

dnsserver RPC 파이프는 DNS 기록 및 영역을 수정하기 위한 관리 기능을 제공합니다.

인증된 사용자는 NULL 포인터 역참조를 통해 RPC 서버 프로세스를 충돌시킬 수 있습니다.

이 문제에 대한 임시 해결책은 dnsserver 태스크를 중단시키는 것입니다. 

이는 Samba의 구성 파일에서 "dcerpc endpoint servers = -dnsserver"로 변경하여 설정 가능하며, 서비스 재시작이 필요합니다.

CVE-2019-12435의 수정 사항은 Samba 4.9.9 및 4.10.5에 포함되어 있습니다. 

관리자들은 개별 패치를 적용하거나 최신 버전으로 업그레이드하여 문제를 해결할 것을 권장합니다. 

CVE-2019-12436를 수정하는 패치는 CVE-2019-12435 취약점에 대한 패치 또한 포함하고 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/samba-vulnerability-can-crash-active-directory-components/