Linux Kernel KSMBD Flaw Lets Remote Attackers Drain Server Resources
2025/09/17 gbhackers — Linux Kernel の KSMBD 実装に、深刻な脆弱性 CVE-2025-38501 が発見された。この脆弱性を悪用するリモート攻撃者は、単純なサービス拒否 (DoS) 攻撃により、サーバに接続されるリソースを完全に枯渇させることが可能になる。この脆弱性は、通称 KSMBDrain と呼ばれ、すべての利用可能な接続を消費する攻撃者により、SMB サービスの停止が引き起こされる可能性がある。
攻撃手法の概要
GitHub のレポートによると、この脆弱性は単純な攻撃ベクターを提供し、KSMBD の接続処理メカニズムの悪用を可能にする。
リモート攻撃者は、最初の3ウェイ・ハンドシェイクを完了することで、KSMBD サーバへの TCP 接続を確立できるが、その後に、後続パケットへのレスポンスを意図的に停止することが可能になる。
| Field | Details |
| CVE ID | CVE-2025-38501 |
| Affected Product | Linux Kernel KSMBD |
| Vulnerability Type | Denial of Service (DoS) |
| Attack Vector | Network |
| Affected Versions | Linux Kernel 5.3+ (since KSMBD merged into mainline) |
このサーバのデフォルトでは、それらの放棄された接続を無期限に保持されるため、利用可能な接続スロットの体系的な消費を、攻撃者は可能にできる。この手法が攻撃者に要求するのは最小限のリソースのみであるが、ターゲットに対して最大の影響を与えることが可能になるため、きわめて危険である。
管理者が、ユーザー空間のコンフィグ・ファイルで接続タイム・アウトを構成していても、最小の設定である1分では、単一の IP アドレスから繰り返し攻撃を仕掛けるだけの、十分な時間を与えてしまう。
この脆弱性が影響を及ぼす範囲は、Linux Kernel のバージョン 5.3 以降である。したがって、KSMBD を通じて SMB サービスを提供する、大半の Linux ディストリビューションに関連することになり、企業/個人のコンピューティング環境全体に潜在的な影響を及ぼすことになる。
Linux ベースのファイル・サーバ/NAS デバイス/KSMBD 経由で、SMB/CIFS サービスを提供するシステムを用いる組織には、即時的なリスクが生じる。
この攻撃において、認証は不要であり、リモートからの実行も可能であるため、高度な脅威アクターだけではなく、日和見的な攻撃者であっても悪用は可能である。
修正と対応策
すでに Linux Kernel の開発者は、リソース枯渇を防ぐ接続管理を、コミット e6bb9193974059ddbb0ce7763fa3882bd60d4dc3 で実装し、この問題に対処している。
システム管理者にとって必要なことは、パッチ適用済み Kernel バージョンへの更新を優先し、SMB サービス設定を見直すことだ。それに加えて、保護策として、適切な接続制限およびタイム・アウトを構成すべきである。
Linux Kernel の KSMBD 実装における、接続処理の仕組みが原因となる脆弱性が発生しました。攻撃者は、TCP の3ウェイ・ハンドシェイクを完了させた後にレスポンスを止めることで、放棄された接続がサーバに保持され続ける状況を作り出します。その結果として、利用可能な接続スロットが次々と埋め尽くされ、サーバのリソースが枯渇してしまいます。認証不要で実行可能なため、特別なスキルを持たない攻撃者でも悪用できてしまう点が危険だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Linux Kernel で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.