16 Settembre 2025 10:37    Alert

Allarme exploit 0-click su Linux: vulnerabilità KSMBD espone sistemi a compromissione remota senza interazione

Nuove ricerche nel settembre 2025 hanno documentato la creazione e pubblicazione di un exploit 0-click contro sistemi Linux che utilizzano il modulo KSMBD (daemon SMB3 integrato nel kernel), sfruttando le vulnerabilità CVE-2023-52440 (overflow heap-based durante l’autenticazione NTLM) e CVE-2023-4130 (out-of-bounds read su Extended Attribute buffer).
La combinazione delle due falle, già note e patchate dai maintainer del kernel, consente a un attaccante remoto di ottenere l’esecuzione di codice arbitrario con privilegi kernel senza alcuna azione da parte dell’utente e senza autenticazione, se SMB3 (KSMBD) è attivo ed esposto verso la rete.

La catena di attacco funziona come segue:

  • 1. Overflow heap-based: tramite un SMB2_SESSION_SETUP con parametri appositamente predisposti, l’aggressore causa una sovrascrittura di memoria in funzione ksmbd_decode_ntlmssp_auth_blob() (CVE-2023-52440), gestendo una session key di lunghezza eccessiva.

  • 2. Leak di memoria kernel: mediante uno SMB request appositamente costruito, la seconda vulnerabilità (smb2_set_ea()) forza la lettura fuori dai limiti consentiti di chunk kernel, permettendo di ricavare kernel pointer e aggirare mitigazioni come KASLR (CVE-2023-4130).

  • 3. Escalation: con queste primitive, l’exploit costruisce una catena ROP nella memoria kernel che consente di lanciare una reverse shell via call_usermodehelper, ottenendo pieno controllo del sistema.

A peggiorare la situazione, la natura kernel-space di KSMBD fa sì che la compromissione abbia impatti a livello di OS e non solo del processo utente.
Parallelamente, la CVE-2025-38501 (DoS) espone a saturazione risorse via numerose connessioni SMB dallo stesso IP.

Impatto e mitigazione:

  • Qualunque Linux kernel 6.1.x (fino almeno alla 6.1.45) con KSMBD attivo e non aggiornato è vulnerabile.

  • Non è richiesta alcuna interazione dell’utente per la riuscita dell’attacco (“0-click”).

  • La patch va applicata immediatamente aggiornando almeno alla 6.1.46, o disabilitando KSMBD nei sistemi non utilizzati come file server.

  • È critico NON esporre KSMBD direttamente su internet e monitorare i log per accessi SMB anomali.

Conclusione:
Questa catena di exploit rappresenta uno scenario di rischio elevato per ambienti che, per performance o praticità, avevano adottato KSMBD invece di Samba, mostrando come la convergenza di moduli kernel e servizi di rete espanda drammaticamente la superficie d’attacco dei sistemi Linux in produzione.

 

Fonti: ACN, Redhotcyber, Gbhackers