Linux: disponibile PoC per CVE-2025-37947 in ksmbd. Rischio escalation dei privilegi

ACN segnala la pubblicazione di un Proof of Concept per la vulnerabilità CVE-2025-37947 (CVSS 7.8), già rilasciata e corretta nei kernel Linux a partire dalla serie 6.15.
La vulnerabilità risiede nella funzione ksmbd_vfs_stream_write() del modulo ksmbd, attivato quando una condivisione SMB3 è configurata con vfs objects = streams_xattr.
Un attaccante locale autenticato può forzare il parametro pos oltre il limite XATTR_SIZE_MAX (0x10000), provocando un’out-of-bounds write di 8 byte oltre il buffer, con conseguente corruzione di oggetti kernel adiacenti.​

Gli analisti hanno dimostrato che, sfruttando il meccanismo di allocazione SLUB e un’accurata “heap grooming” tramite code IPC (msg_msg) e spray di pipe_buffer, è possibile bypassare KASLR, SMAP e SMEP, costruire una catena ROP e ottenere escalation di privilegi a root su Ubuntu 22.04.5 LTS con kernel 5.15.0-153-generic.

Il PoC, riprodotto in condizioni di default, mostra un tasso di successo elevato, rendendo la vulnerabilità praticamente sfruttabile su qualsiasi sistema con ksmbd attivo.​

Impatto e contesto:

• Local privilege escalation: richiede accesso shell già ottenuto con un account utente.

• Ampia diffusione: tutte le distribuzioni Linux che integrano il modulo ksmbd pre-6.15.

• Elevata attendibilità del PoC: exploit completamente deterministico, disponibile su GitHub.
   

Azioni consigliate:

• Aggiornare immediatamente il kernel a versione ≥ 6.15 (o applicare backport patch).

• Disabilitare temporaneamente il modulo ksmbd se non utilizzato.

• Rimuovere la voce streams_xattr dalle proprietà delle condivisioni SMB.

• Monitorare kern.log e direttive IPC per anomalie di scrittura OOB su ksmbd.

• Ispezionare presenza di processi figlio sospetti e log di crash del kernel.

Fonti: ACN, Doyensec, GB Hackers