Две уязвимости в ksmbd Linux позволяют получить root через SMB

Екатерина Быстрова 16 Сентября 2025 - 10:12

...

Без лишней мистики: исследователь в области кибербезопасности BitsByWill подробно разобрал две критические уязвимости в ksmbd — встроенном в ядро Linux SMB-сервере. Речь о CVE-2023-52440 и CVE-2023-4130 — и самое неприятное, что они отлично склеиваются в рабочую эксплойт-цепочку.

Первая уязвимость, CVE-2023-52440, описывается как контролируемое SLUB-переполнение в функции ksmbd_decode_ntlmssp_auth_blob().

Как пишет BitsByWill, длина sess_key_len контролируется пользователем, и при определённой подаче данных можно переполнить фиксированный буфер sess_key во время вызова cifs_arc4_crypt. Проще говоря — достаточно модифицировать одну строку в ntlm-клиентской библиотеке (в примере — Impacket), чтобы сгенерировать специально подготовленное NTLM-сообщение и получить неаутентифицированное удалённое переполнение буфера с контролем размера и содержимого.

Вторая уязвимость, CVE-2023-4130, — это чтение за пределами буфера (OOB read) в smb2_set_ea(). Из-за плохой проверки расширенных атрибутов (EA) злоумышленник с правом записи на шаре может заставить ksmbd неправильно интерпретировать структуру и считать дополнительные записи. В результате соседние данные кучи попадают в xattr, откуда их можно извлечь через SMB3 queryInfo. То есть брешь позволяет вытянуть части памяти ядра и, например, сломать KASLR.

И вот где всё становится опасно: переполнение даёт запись, чтение даёт утечку. Связав CVE-2023-52440 и CVE-2023-4130, BitsByWill показал рабочий путь до реального ROP-эксплойта.

Для демонстрации потребовались учётные данные пользователя с правом записи на шару, поэтому исследователь пишет о 0-click с аутентификацией — формулировка спорная, но смысл понятен: если админ разрешил анонимную запись в шаре, шанс эксплуатации становится ещё выше.

Авторы анализа подчёркивают практические сценарии: модификация таблиц страниц для произвольного чтения/записи, вынимание секретов из соседних процессов или подготовка ROP-цепочки для исполнения кода в контексте ядра. Всё это — классика эскалации привилегий, но в данном случае — прямо через SMB-интерфейс ядра.

Патчи уже вышли, и производители/поддерживающие дистрибутивы закрывали эти баги, но реальная угроза — не только в уязвимом коде, а в конфигурациях и устаревших системах. Как обычно, напомним: открытые для записи шар-ресурсы, устаревшее ПО и несвоевременное обновление — идеальная среда для подобных атак.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Июня 2026 - 09:37

Домашние пользователи

Wi-Fi из прошлого: у 68% россиян дома стоят устаревшие роутеры

Если домашний интернет стал работать как-то не очень, проблема может быть не у провайдера, а прямо у вас на полке. По данным исследования компании Vigo, около 68% роутеров в российских домохозяйствах до сих пор работают только в диапазоне 2,4 ГГц, а многие из них относятся к устройствам прошлых поколений.

Особенно много такого оборудования оказалось в регионах Северного Кавказа, где доля роутеров 2,4 ГГц превышает 80%. Самые современные сети аналитики зафиксировали в Москве, Санкт-Петербурге, Мурманской области и ХМАО — там показатель составляет около 54-55%.

Проблема стала заметнее на фоне роста нагрузки на домашние сети. По данным Vigo, с конца 2025 года доля Wi-Fi в общем интернет-трафике россиян выросла на 6 процентных пунктов и достигла 65%. На фоне периодических ограничений мобильного интернета многие пользователи всё чаще зависят именно от домашнего Wi-Fi.

Как объясняют специалисты, диапазон 2,4 ГГц давно перегружен. Он лучше проходит через стены и обеспечивает большое покрытие, но страдает от помех со стороны соседних сетей и многочисленных устройств, накопившихся за годы использования этой частоты.

Проще говоря, если весь подъезд сидит на старых роутерах, качество связи начинает страдать у всех.

Эксперты рекомендуют переходить на двухдиапазонные модели с поддержкой Wi-Fi 5, Wi-Fi 6 или более новых стандартов. Они используют диапазон 5 ГГц, где больше свободных каналов и меньше взаимных помех.

Впрочем, сами операторы связи с оценками Vigo спорят. В «Ростелекоме» утверждают, что доля устаревших роутеров среди их абонентов не превышает 10%, а базовым вариантом подключения уже стали устройства стандарта Wi-Fi 6. В «Билайне» говорят, что около 40% роутеров клиентов всё ещё работают на 2,4 ГГц, а в «Дом.ру» заявляют, что две трети пользователей уже используют устройства Wi-Fi 6.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!