Linux内核ksmbd远程代码执行漏洞 – Kudelski安全研究

注意：本公告由Kudelski安全威胁检测与研究团队的Eric Dodge撰写

摘要

零日倡议（ZDI）最近披露了在较新版本的Linux内核中发现的一个严重漏洞，具体涉及内核空间SMB实现（ksmbd）。该漏洞存在于内核处理某些SMB2命令的过程中。

需要注意的是，此漏洞仅适用于启用了ksmbd且将SMB暴露于网络的系统。此外，该漏洞是在Linux内核版本5.15（2021年11月发布）中引入的，KSMBD模块被视为实验性功能，默认未启用。

由于大多数需要SMB支持的部署可能运行的是Samba，因此ksmbd不太可能被组织广泛使用。

网络融合中心强烈建议通过ksmbd启用内核空间SMB支持的组织尽快应用补丁。

此漏洞影响运行内核5.15且启用了内核空间SMB实现（ksmbd）的Linux系统，该功能随Linux内核5.15引入。

成功利用此漏洞不需要身份验证，迄今为止仅要求主机上启用了ksmbd。Ksmbd随Linux 5.15引入。正确利用SMB2_TREE_DISCONNECT命令将允许远程攻击者在受影响的系统上执行任意代码，并使其能够泄漏内存（类似于心脏滴血漏洞）。

该漏洞源于在对对象执行操作之前缺乏对对象存在性的验证。攻击者可以利用此漏洞执行处于内核上下文中的代码。

当前建议是将所有受影响的系统修补到5.15.61内核版本。由于这是Linux内核的一个相当新的版本，请咨询您的操作系统维护者以了解如何解决此漏洞。

CFC将继续关注此漏洞的最新动态，以便在获得更多更新时提供进一步信息。