Vulnerabilidade crítica do Kernel Linux afeta servidores SMB

Kernel Linux 4.9 chega ao fim da vida após 6 anos de suporte

Uma vulnerabilidade crítica do Kernel Linux está em alerta pelos especialistas, já que está afetando servidores SMB que pode levar à execução remota de código. Essa vulnerabilidade tem pontuação CVSS de 10, de alta gravidade.

Vulnerabilidade do Kernel Linux afetando servidores SMB

Uma vulnerabilidade crítica do kernel Linux expõe servidores SMB com ksmbd habilitado para hackear. O KSMBD é um servidor de kernel Linux que implementa o protocolo SMB3 no espaço do kernel para compartilhar arquivos pela rede. Com essa vulnerabilidade sendo explorada, um invasor remoto não autenticado pode executar código arbitrário em instalações vulneráveis do Kernel do Linux. A falha reside no processamento dos comandos SMB2_TREE_DISCONNECT.

De acordo com um comunicado publicado pela ZDI (Via: Security Affairs),

Esta vulnerabilidade permite que atacantes remotos executem código arbitrário em instalações afetadas do Kernel Linux. A autenticação não é necessária para explorar esta vulnerabilidade, mas apenas os sistemas com ksmbd habilitado são vulneráveis.

A falha específica existe no processamento dos comandos SMB2_TREE_DISCONNECT. O problema resulta da falta de validação da existência de um objeto antes de realizar operações no objeto. Um invasor pode aproveitar essa vulnerabilidade para executar código no contexto do kernel.

vulnerabilidade-critica-do-kernel-linux-afeta-servidores-smb

A vulnerabilidade foi descoberta em 26 de julho de 2022 pelos pesquisadores Arnaud Gatignol, Quentin Minster, Florent Saudel e Guillaume Teissier da equipe Thalium do Thales Group. E foi divulgada publicamente em 22 de dezembro de 2022.

Usuários não afetados

De acordo com o pesquisador Shir Tamari, chefe de pesquisa da Wiz_IO, os servidores SMB que usam Samba não são afetados, ele também acrescentou que os servidores SMB que usam ksmbd são vulneráveis ao acesso de leitura que pode vazar a memória do servidor (semelhante à vulnerabilidade Heartbleed). Segundo ele, “ksmbd é novo; a maioria dos usuários ainda usa o Samba e não é afetada. Basicamente, se você não estiver executando servidores SMB com ksmbd, aproveite seu fim de semana”.

ksmbd é novo; a maioria dos usuários ainda usa o Samba e não é afetada. Basicamente, se você não estiver executando servidores SMB com ksmbd, aproveite seu fim de semana.— Shir Tamari (@shirtamari)

Os administradores que usam o ksmbd devem atualizar para a versão 5.15.61 do kernel do Linux, que foi lançada em agosto, ou uma versão mais recente. Inclusive, lembre-se sempre de manter deus dispositivos e softwares sempre atualizados, para que você não seja pego de surpresa no caso de uma vulnerabilidade ser explorada. Atualize o ksmbd agora mesmo para se livrar dessa vulnerabilidade.