Impatto Sistemico

Alto (68.71)

Descrizione e potenziali impatti

Ricercatori di sicurezza hanno recentemente sviluppato un exploit “0-click” che, sfruttando le CVE-2023-52440 e CVE-2023-4130 – già sanate dal vendor – presenti nel modulo KSMBD ^[1] del Kernel Linux, consentirebbe a un utente malevolo remoto di eseguire codice arbitrario su un sistema target senza alcuna interazione da parte dell’utente.

Rilevata inoltre la disponibilità di un Proof of Concept (PoC) per la CVE-2025-38501 – già sanata dal vendor – che interessa il medesimo modulo del Kernel Linux e potrebbe consentire, qualora sfruttata, di compromettere la disponibilità del servizio sul sistema target.

Dettagli delle vulnerabilità

Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato remoto di eseguire codice arbitrario, senza alcuna interazione da parte dell’utente, e di compromettere la disponibilità del servizio sui sistemi target.

Nel dettaglio, l’exploit “0-click” consiste in una catena di attacco che sfrutta due vulnerabilità già note:

• nella prima fase viene sfruttata la vulnerabilità identificata tramite la CVE-2023-52440 – di tipo “ Heap-Based Buffer Overflow (SLUB Overflow)” e con score CVSS 3.1 pari a 7.8 – che è dovuta alle modalità di gestione della lunghezza del campo SessionKey, all’interno del metodo ksmbd_decode_ntlmssp_auth_blob() , durante l’autenticazione NTLM. In particolare, la vulnerabilità consente all’attaccante, tramite chiavi di sessione con lunghezza opportunamente predisposta ( sess_key_len ), di sovrascrivere porzioni di memoria adiacenti al kernel;
• nella seconda fase viene sfruttata la vulnerabilità identificata tramite la CVE-2023-4130 – di tipo “ Out-of-Bounds Read” e con score CVSS 3.1 pari a 5.5 – causata da una validazione errata dei buffer EA ( Extended Attributes ) nel metodo smb2_set_ea() . In dettaglio, sfruttando un buffer EA opportunamente predisposto, un utente malevolo autenticato può causare una lettura fuori dai limiti della memoria heap, esponendo così contenuti arbitrari attraverso i metadati xattr dei file condivisi via SMB3.

La combinazione delle due vulnerabilità consente all’attaccante di ottenere il pieno controllo del sistema target. L’exploit sfrutta una tecnica nota come “ heap spraying ” per predisporre la memoria in modo favorevole all’esecuzione di codice malevolo. Dopo aver guadagnato l’accesso alla memoria del kernel, l’attaccante utilizza una catena ROP ^[2] ( Return-Oriented Programming ) per eseguire una reverse shell, stabilendo così un accesso remoto persistente.

Infine, si riporta anche il dettaglio della vulnerabilità identificata tramite la CVE-2025-38501 – di tipo “ Denial of Service” e con score CVSS 3.1 pari a 5.5 – per la quale è stato rilevato un Proof of Concept (PoC) disponibile in rete e che è dovuta alla mancanza di limitazione, nel modulo KSMBD, per connessioni ripetute dallo stesso IP. Questo consente a un utente malintenzionato di aprire numerose connessioni simultanee, saturando il limite massimo e compromettendo quindi la disponibilità del servizio sul sistema target.

Tipologia

• Remote Code Execution
• Denial of Service

Prodotti e versioni affette

Linux Kernel con modulo KSMBD attivo

N.B. Per il dettaglio delle versioni vulnerabili si raccomanda di consultare i link disponibili nella sezione Riferimenti per ogni CVE.

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.

[1] KSMBD è un server SMB3 in spazio kernel che gestisce la condivisione di file in rete. È un’alternativa a Samba, integrata direttamente nel kernel.

[2] Una catena ROP (Return-Oriented Programming) è una tecnica di exploit usata dagli attaccanti per eseguire codice arbitrario senza iniettare nuovo codice, sfruttando invece frammenti di codice già presenti nella memoria del programma o del kernel.