Una vulnerabilidad crítica en un servidor kernel de Linux utilizado para compartir archivos, puede permitir a los atacantes piratear de forma remota un sistema con los máximos privilegios de ejecución.
La vulnerabilidad, que tiene una puntuación CVSS de 10, afecta a los servidores habilitados para KSMBD.
KSMBD es un servidor kernel de Linux que permite a los empleados compartir archivos a través de una red interna. Un usuario no autenticado podría explotar la vulnerabilidad para ejecutar código arbitrario a nivel de kernel en los sistemas vulnerables, según la iniciativa Zero Day de Trend Micro.
Dado que el módulo KSMBD no es tan popular como la suite Samba, el impacto potencial de la vulnerabilidad puede ser limitado a pesar de su gravedad, dice Shir Tamari , jefe de investigación de Wiz. «La vulnerabilidad solo afecta a los servidores SMB que usan el módulo ksmbd experimental introducido en Linux 5.15. Si su servidor SMB usa Samba, está seguro», dice Tamari.
La vulnerabilidad se encuentra en el procesamiento de los comandos: «SMB2_TREE_DISCONECT/SMB2_WRITE».
«El problema se debe a la falta de validación de la existencia de un objeto antes de realizar operaciones en el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del kernel».
Quienes utilicen KSMBD deben actualizar su software a la versión 5.15.61 o posterior del kernel de Linux. El registro de cambios incluye detalles adicionales.
Este tipo de vulnerabilidad se clasifica como un error de «use-after-free (UAF)«, según el registro de cambios de Linux. Kaspersky define UAF como una vulnerabilidad relacionada con el uso incorrecto de la memoria dinámica durante el funcionamiento del programa. Si después de liberar una ubicación de memoria, un programa no borra el puntero a esa memoria, un atacante puede usar el error para piratear el programa.
Tamari comparó la explotación de esta vulnerabilidad con la de la popular falla de OpenSSL denominada Heartbleed, de 2014. Heartbleed expuso una falla en OpenSSL, una herramienta criptográfica que brinda seguridad y privacidad en la comunicación a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea y algunas redes privadas virtuales. El error permitió que cualquiera en Internet leyera la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL, similar a lo que el servidor SMB permite que hagan sus atacantes.
La última vulnerabilidad a nivel de kernel fue reportada a Linux el 26 de julio por los investigadores Arnaud Gatignol, Quentin Minster, Florent Saudel y Guillaume Teissier. Todos son miembros del Thalium Team, una división de Thales centrada en la inteligencia de amenazas, la investigación de vulnerabilidades y el desarrollo de equipos rojos.
Recomendaciones:
- Quienes utilicen KSMBD deben actualizar su software a la versión 5.15.61 o posterior del kernel de Linux.
Referencias
Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces:
- https://unaaldia.hispasec.com/2022/12/publicada-vulnerabilidad-critica-10-cvss-en-kernel-de-linux.html
- https://www.bankinfosecurity.com/linux-critical-kernel-level-bug-affects-smb-servers-a-20804
- https://www.bankinfosecurity.com/heartbleed-bug-what-you-need-to-know-a-6730
- https://www.kernel.org/doc/html/latest/filesystems/cifs/ksmbd.html
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.61
- https://encyclopedia.kaspersky.com/glossary/use-after-free/
- https://www.zerodayinitiative.com/advisories/ZDI-22-1691/