近期 紅帽 NetworkManager 中發現的漏洞 CVE-2024-8260引起了網路安全社群的擔憂,因為他可能允許未經授權的使用者獲得root 存取權限。
此缺陷被描述為SMB(伺服器訊息區塊)強制身分驗證漏洞,影響0.68.0版之前的所有Windows開啟策略代理程式(OPA)版本,核心問題源自於OPA CLI及其 Go 函式庫函數中不正確的輸入驗,此漏洞允許攻擊者傳遞任意 SMB 共享而不是 Rego 文件,從而可能導致對敏感資料或資源的未經授權的存取,漏洞被歸類為 CWE-294,涉及透過捕獲重播繞過身份驗證,它利用使用者或應用程式嘗試存取 Windows 上的遠端共用的機制,強製本機透過 NTLM(新技術 LAN 管理員)對遠端伺服器進行身份驗證。
在此過程中,本機使用者的 NTLM 雜湊值會傳送到遠端伺服器,攻擊者可以捕獲該雜湊值並可能用於進一步的惡意活動,例如中繼攻擊或離線密碼破解,若要成功利用漏洞需要直接存取OPA CLI 或其 Go 庫函數並能夠影響傳遞給這些元件的參數,儘管限制了攻擊媒介,但如果被利用可能會導致未經授權的存取或資料操縱。
根據報告指出,沒有任何直接的緩解策略能夠滿足紅帽在廣泛安裝基礎上的易用性和部屬標準,但是臨時解決方法包刮透過實施嚴格的存取控制來限制對OPA CLI 及其功能的訪問,並確保只有授權使用者才能執行與SMB共享互動的命令,此外 驗證輸入以確保僅處理合法的 Rego 檔案可以幫助降低風險,直到找到永久解決方案強烈建議用戶升級到 OPA 版本 0.68.0 或更高版本,該漏洞已在 2024 年 6 月 19 日負責任的披露後得到解決。,
NetworkManager 漏洞事件凸顯了用戶在維護系統安全方面所扮演的重要角色,用戶應主動關注系統安全更新,並及時安裝補丁 同時,企業也應加強員工的資安意識教育,共同築起堅固的資安防線。
參考資料: