Sequoia 漏洞 (CVE-2021-33909),听听 PCI DSS 专家怎么说 ?

資訊資訊

  • 作业系统帐户的安全性 (PCI DSS Req. 2.1) – 验证本机的所有不必要的预设帐户已被删除或停用。检查目前所有的机器预设帐户是否已被删除或停用,可检查 /etc/password 内的帐户设定是否已删除或是配置 nologin,避免不必要使用者可登入进行恶意漏洞利用攻击。
  • 重大风险应于 30 天内完成 Patch 更新 (PCI DSS Req. 6.2) – 安装适用的供应商安全补丁,确保所有系统组件和软件免受已知漏洞的影响。如供应商发布 Patch 后,应在发布后的一个月内安装关键的安全补丁。

检查目前作业系统供应商是否有释出相关 Patch,并尽可能安排时间于一个月内完成作业系统 Patch。如作业系统供应商尚未发布 Patch 则应实施缓解措施。

目前各家系统提供商正如火如荼的发布更新 Patch 来解决这次由 Qualys 安全研究团队所发布的漏洞 (CVE-2021-33909)。目前收集的风险判定 Patch 参考清单可参考下方整理表格:

                         來源                         风险等级
NESSUS https://www.tenable.com/cve/CVE-2021-33909NO SCORE
NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2021-33909N/A
Redhat https://access.redhat.com/security/cve/cve-2021-33909CVSS (v3) 7.0
CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33909Source:· MITRE

Qualys 安全研究团队目前已经验证了成功取得 root 权限的漏洞作业系统包含 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 等。而其他的 Linux 作业系统也可能因为这次的漏洞产生恶意利用攻击。Linux Server 版本所对应的安全补丁整理:

                          作业系统                          安全补丁连结
Redhathttps://access.redhat.com/security/cve/cve-2021-33909
CentOS尚未發布
SUSEhttps://www.suse.com/security/cve/CVE-2021-33909.html
ubuntuhttps://ubuntu.com/security/CVE-2021-33909

如 Patch 尚未出现,可先采用的缓解做法。

sysctl kernel.unprivileged_userns_clone=1   # 将 unprivileged_userns_clone 设定为 0

sysctl kernel.unprivileged_bpf_disabled=1   # 将 unprivileged_bpf_disabled 设定为 1

技术细节请看:https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt


Max Tsai

安律信息技术公司 PCI 资深合规 QSA 与 顾问 - PCI QSA and Senior Consultant

• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 专业认证:PCI DSS QSA, CISSP, ISO27001 LA


安律信息技术有限公司 Secure Vectors Information Technologies Inc., 是一家专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。 安律信息技术在美国、中国、新加坡、越南、台湾等地设有服务据点,提供完整的服务。与合规相关的产品包含认证服务(合规审查)、合规安全代管以及合规管理平台等服务。

* 如想了解更多合规服务,欢迎与我们联系 service@securevectors.com


你可能会喜欢看

Sequoia 漏洞 (CVE-2021-33909),听听 PCI DSS 专家怎么说 ?

/
資訊資訊 作业系统帐户的安全性 (PCI DSS Req.…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
PCI 3DS 驗證 3 步驟_Max

PCI 3DS 验证 3 步骤

3D 验证 (3-D Secure) 消费者 (Consumer)…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大秘诀让中小企业在疫情中保护信用卡资料

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

智能型手机被盗刷,mPOS的安全性?

『 智能型手机被盗刷!!! 』 规模较小的公司与商店都开始设计及导入mPOS这类型的装置,请大家要多加留意安全性。 企业安全解决方案供货商Positive Technologies研究人员发现一个影响全球支付服务的安全漏洞, 黑心商家或者是黑客有机会在顾客藉由mPOS载具进行消费时,入侵其消费者的账户或是窃取信用卡相关信息, 较进阶一点的方式,黑客还可以修改客户支付卡的金额,另外还能强迫消费者使用其他种方式来做付款,POS 机的厂商真的要注意!
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

支付卡营运标准的安全管理层次与精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

Reddit 遭骇了,Two Factor 被破解!

由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)
0 回复

发表评论

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *