ZDI-22-1690 – Linux Kernel ksmbd

Uma vulnerabilidade crítica foi identificada em um módulo do kernel do Linux.

A vulnerabilidade permite que invasores remotos executem código arbitrário em instalações afetadas do Kernel Linux. A autenticação não é necessária para explorar esta vulnerabilidade, mas apenas os sistemas com o módulo ksmbd habilitado são vulneráveis.

A falha específica existe no processamento dos comandos SMB2_TREE_DISCONNECT. O problema resulta da falta de validação da existência de um objeto antes de realizar operações no objeto. Um invasor pode aproveitar essa vulnerabilidade para executar código no contexto do kernel.

Qualquer distribuição usando o kernel Linux 5.15 ou superior é potencialmente vulnerável. Isso inclui o Ubuntu 22.04 e seus descendentes. Outras distribuições enterprise, como a família Red Hat Enterprise Linux (RHEL), não usam o kernel 5.15.

Para certificar-se a versão do kernel sendo utilizada você pode digitar o seguinte comando: $ uname -r

$ modinfo ksmb

Caso esteja utilizando um kernel vulnerável, verifique se o módulo ksmbd está presente e ativo:

Mitigação

Como forma de mitigação, desative o módulo ksbm se estiver presente e ativo, incluindo o módulo na blacklist do arquivo /etc/modprobe.d/blacklist.conf.

Liste os módulos dependentes

$ lsmod | grep ksmb

Por fim inclua os módulos na blacklist inserindo-os no final do arquivo e reinicie o servidor:

blacklist ksmb