Samba の RCE 脆弱性 CVE-2025-10230 が FIX:Active Directory DC としての利用時に懸念

Critical Samba RCE Vulnerability Enables Arbitrary Code Execution

2025/10/16 CyberSecurityNews — Samba が公開したのは、Active Directory Domain Controller (AD DC) の乗っ取りを攻撃者に許すとされる、深刻なリモート・コード実行 (RCE) の脆弱性の情報だ。この脆弱性 CVE-2025-10230 (CVSS 3.1:10.0) は、Windows Internet Name Service (WINS) の不適切な検証に起因しており、その悪用の容易さと壊滅的な影響が懸念されている。この問題は、Aisle Research のセキュリティ研究者である Igor Morgenstern により発見された。

Linux/Unix 環境で Windows のファイルの共有/認証を模倣する Samba は、SMB/CIFS ネットワーク・プロトコルのオープンソース実装であり、長年にわたりクロス・プラットフォームのエンタープライズ・ネットワークの基盤となっている。

しかし、Samba を AD DC として利用している組織は、この脆弱性を悪用する未認証の脅威アクターに攻撃される可能性がある。

この脆弱性が影響を及ぼす範囲は、WINS サポートと “smb.conf” ファイル内のカスタム “wins hook” が有効になっている、すべての Samba バージョン 4.0 以降となる。

Samba の RCE 脆弱性

WINS は、DNS 以前の時代に非推奨となった Microsoft のレガシー・プロトコルであり、従来の Windows ネットワークで NetBIOS 名を解決するものだ。

Samba のデフォルトでは WINS サポートは無効化されているが、AD DC で WINS サポートを有効化し、名前変更時に外部スクリプトを起動する “wins hook” パラメータが指定されているシステムは、この攻撃の標的となる。

攻撃者は、シェル・メタ文字を含む細工された WINS 名登録リクエストを、15文字の NetBIOS 制限内で送信できる。それにより、フック・スクリプトに任意のコマンドが挿入され、認証やユーザー操作を必要とすることなくシェル経由で実行される。

この脆弱性の影響範囲は狭く、AD DC モードの Samba のみに影響を及ぼすが、その危険性は高い。ただし、異なる WINS 実装を使用するスタンドアロン・サーバまたはメンバー・サーバは影響を受けない。

悪用に成功したネットワーク上のリモート攻撃者は、システム全体の侵害/機密データの窃取/ランサムウェアの展開などに加え、企業で一般的な Windows /Linux ハイブリッド環境における権限昇格の可能性を手にする。

緩和策

すでに Samba のメンテナーたちは、セキュリティ・ポータルでパッチをリリースし、この問題に対処している。この脆弱性を修正したバージョンは、 4.23.2/4.22.5/4.21.9 となる。

管理者にとって必要なことは、特にレガシー WINS に依存している環境のアップグレードを優先することだ。

回避策として推奨されるのは、”wins hook” パラメータを完全な無効化、もしくは、”smb.conf” での “wins support = no” 設定である。ただし、Samba のデフォルト・コンフィグでは、すでに前述の危険な組み合わせが回避されているため、そのまま使っても安全である。

その一方で専門家たちは、より広範な見直しを強く推奨している。WINS は時代遅れであり、最新のドメイン・コントローラーでの使用は稀であり、また、推奨されないと、彼らは指摘している。さらに、将来の Samba リリースでサポートが廃止される可能性があるため、パッチ適用後であっても、管理者はフックを完全に無効化すべきである。

ハイブリッド・クラウドにおける攻撃の対象領域が拡大している。時代遅れのプロトコルが国家レベルの攻撃者やサイバー犯罪者の侵入口となる前に、その監査を行い段階的に廃止していく必要性を、今回のインシデントは浮き彫りにしている。

この Samba の脆弱性の原因は、 WINS フックの検証不足にあります。AD DC で WINS 支持を有効にし、smb.confwins hook で外部スクリプトを呼ぶ運用をしていると、15文字以内の NetBIOS 名を細工するだけで侵害の入口が生じます。つまり、古い WINS への依存や、フックで外部スクリプトを走らせる設定に問題があると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Samba で検索も、ご参照ください。