- Afsløringen af Samba-sårbarheden kommer lige efter den seneste Log4j-sårbarhed og understreger de udfordringer, som IT-sikkerhedsteams over hele verden har med at håndtere sikkerhedsrisici på tværs af applikationer og open source-software, siger Jesper Mikkelsen, der er teknisk direktør for Norden i Trend Micro.

Sambasårbarheden blev fundet under hackerkonkurrencen Pwn2Own, der er en del af Zero Day Initiative (ZDI). ZDI er verdens største “bug hunter”-program, hvor programmører får dusører for at finde og afsløre sårbarbarheder i populære softwareløsninger og IT-systemer med henblik på at fjerne sårbarhederne, inden hackere kan udnytte dem.

- Den gode nyhed omkring Samba-sårbarheden er, at den blev fundet under Pwn2Own. Det betyder, at vi har haft mulighed for at samarbejde med udviklere om at lukke sårbarheden på en ansvarlig måde med en patch. Indtil videre har vi ikke hørt om nogen hackerangreb, som har udnyttet sårbarheden, fortæller Jesper Mikkelsen.

Den konkrete sårbarhed, CVE-2021-44142, har fået en CVSS-score (Common Vulnerability Scoring System) på 9,9 ud af 10 mulige point. Det viser, at sårbarheden har potentiale til at give store problemer for virksomheder, som bliver ramt af et hackerangreb, der udnytter sårbarheden. Sårbarheden giver mulighed for, at hackere kan afvikle kode på root-niveau.

Selvom der endnu ikke er registrerer hackerangreb, som udnytter sårbarheden, kan det ske inden for kort tid, og det er derfor vigtigt, at virksomheder, der bruger Samba, lukker sårbarheden med en patch straks eller opdaterer til den nyeste udgave af Samba.

Sårbarheden blev oprindeligt opdaget under Pwn2Own Austin 2021 af Nguyen Hoang Thach og Billy Jheng Bing-Jhong fra STAR Labs. Lucas Leong fra Trend Micros ZDI-program fandt efterfølgende flere varianter af sårbarheden, som blev indberettet til Samba og indarbejdet i patchen. Den oprindelige sårbarhed blev også opdaget af Orange Tsai fra DEVCORE.