Linux Kernel ksmbd Vulnerability Allows Remote Attackers to Execute Arbitrary Code
2025/09/25 CyberSecurityNews — Linux Kernel の ksmbd SMB サーバに深刻な脆弱性 CVE-2025-38561 (CVSS:8.5) が発見された。この脆弱性を悪用する認証済みのリモート攻撃者は、影響を受けるシステム上で、任意のコード実行の可能性を得るため、Kernel ベースの SMB サーバ機能を利用する Linux システムにとって重大なセキュリティ・リスクとなっている。
この問題は、smb2_sess_setup 関数内における、Preauth_HashValue フィールドの不適切な処理に起因すると、Zero Day Initiative は公表している。この競合状態が発生する原因は、Kernel オブジェクト操作におけるロック機構の不備にあり、攻撃者はメモリ構造を操作して Kernel コンテキスト内で任意コードを実行する可能性がある。
Linux Ksmbd 脆弱性 CVE-2025-38561
Kernel 内で SMB サーバ機能を提供するために、従来からの Samba 実装を置き換える ksmbd が、この脆弱性の標的になってしまう。ユーザー空間で動作する SMB サーバとは異なり、攻撃に成功した攻撃者に Kernel 権限が付与されるため、きわめて危険な脆弱性である。
この攻撃の前提として、SMB サービスへの初期認証が必要となるため、攻撃者は有効な資格情報の取得もしくは、別の手段による認証の突破が必要になる。認証に成功した状態で、セッション設定処理における競合状態が悪用されると、メモリ構造の破壊によりコード実行フローがリダイレクトされるため、Kernel 内での任意のコード実行の可能性が生じる。
技術分析によると、この脆弱性は SMB2 セッション確立時に、サーバが認証ハッシュ値を処理する段階で顕在化する。その結果として、コンカレント処理間での適切な同期が欠如するため、メモリ破壊が発生する可能性のあるウィンドウが生じ、Kernel 権限での任意のコード実行の恐れが生じる。
この脆弱性の開示は、責任ある手順に従って行われた。Trend Research の研究者 Nicholas Zubrisky が、2025年7月22日に Linux メンテナーへと報告した。
| Risk Factors | Details |
| Affected Products | Linux Kernel (ksmbd SMB server implementation) |
| Impact | Remote Code Execution |
| Exploit Prerequisites | Authentication required – Valid SMB credentials needed to access ksmbd service |
| CVSS 3.1 Score | 8.5 (High) |
緩和策
すでに Linux メンテナーは、この脆弱性に対応するパッチを公開しており、修正は安定版 Kernel ツリーのコミット 44a3059c4c8cc635a1fb2afd692d0730ca1ba4b6 に含まれている。
システム管理者にとって必要なことは、信頼できないネットワークやユーザーに晒されている環境において、Linux Kernel の更新を優先することだ。
また、ファイル共有サービスに ksmbd を利用する組織は、ネットワークのセグメンテーション/厳格な認証制御/不審な SMB トラフィックの監視などの、追加のセキュリティ対策を実施すべきである。そして、パッチ適用が完了するまでは、重要度の低いシステムで ksmbd サービスを一時的に無効化することも検討すべきである。
Linux Kernel の ksmbd SMB サーバに、深刻な脆弱性が発見されました。原因は、セッション確立時に使われる Preauth_HashValue フィールドの処理の不備にあり、カーネル内でのロック機構が適切に働かない点にあります。そのため競合状態が発生し、攻撃者はメモリ構造を操作することで、任意のコードを実行できてしまいます。特に ksmbd はカーネル空間で動作するため、攻撃が成功すると高権限を奪われてしまうのが特徴だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Linux Kernel で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.