漏洞公告
近日,安恒信息CERT监测到Linux Kernel ksmbd 远程代码执行漏洞(CVE-2023-32254),目前技术细节及PoC未公开。
该漏洞发生在SMB2_TREE_DISCONNECT 命令的处理过程中。当系统启用了 ksmbd时,未经身份验证的攻击者可以利用此漏洞在内核上下文中执行代码。
该产品主要使用客户行业分布广泛,是主流的操作系统之一。该漏洞需在一定前置条件下触发,建议客户尽快做好自查及防护。
漏洞信息
Linux Kernel是开源的操作系统内核,负责管理计算机硬件资源和提供与硬件设备的交互接口。它具有多任务和多用户支持、硬件管理、设备驱动程序、文件系统支持、网络功能和安全性等功能。
Linux内核的开源性使其广泛应用于个人电脑、服务器、移动设备和嵌入式系统,并成为众多Linux发行版的核心组件。它为用户提供了稳定、可靠和安全的计算环境。
|
漏洞标题 |
Linux Kernel ksmbd 远程代码执行漏洞(CVE-2023-32254) |
||
|
应急响应等级 |
3级 |
||
|
漏洞类型 |
远程代码执行 |
||
|
影响目标 |
影响厂商 |
Linux |
|
|
影响产品 |
Linux Kernel |
||
|
影响版本 |
(-∞, 6.3.1] |
||
|
安全版本 |
[6.3.2,+∞) |
||
|
漏洞编号 |
CVE编号 |
CVE-2023-32254 |
|
|
CNVD编号 |
未分配 |
||
|
CNNVD编号 |
未分配 |
||
|
安恒CERT编号 |
DM-202305-000415 |
||
|
漏洞标签 |
操作系统 |
||
|
CVSS3.1评分 |
9.8 |
危害等级 |
严重 |
|
CVSS向量 |
访问途径(AV) |
网络 |
|
|
攻击复杂度(AC) |
低 |
||
|
所需权限(PR) |
无需任何权限 |
||
|
用户交互(UI) |
不需要用户交互 |
||
|
影响范围(S) |
不变 |
||
|
机密性影响(C) |
高 |
||
|
完整性影响(I) |
高 |
||
|
可用性影响(A) |
高 |
||
|
威胁状态 |
Poc情况 |
未发现 |
|
|
Exp情况 |
未发现 |
||
|
在野利用 |
未发现 |
||
|
研究情况 |
分析中 |
||
|
舆情热度 |
公众号 |
低 |
|
|
Twitter |
低 |
||
|
微博 |
低 |
||
安恒信息CERT基于中央研究院AVPT漏洞治理技术框架预演分数区间为6.9~10,关键预演场景如下:
当Exp在野利用,影响核心资产为互联网资产时,AVPT Score上升至10分,相较CVSS评分上升0.2分。
当无PoC/Exp,影响一般资产为本机访问资产时,AVPT Score下降至8.5分,相较CVSS评分下降1.4分。
当无PoC/Exp,影响一般资产为物理接触资产时,AVPT Score下降至6.9分,相较CVSS评分下降2.9分。
修复方案
判断受影响情况:
若满足以下所有情况,则受到此漏洞影响:
-
启用ksmbd
-
uname -r查看内核版本,内核版本<=6.3.1
官方修复方案:
升级内核版本到6.3.2版本
https://github.com/torvalds/linux/commit/30210947a343b6b3ca13adc9bfc88e1543e16dd5
临时修复方案:
关闭ksmbd
网络空间资产测绘
安恒CERT的安全分析人员利用Sumap全球网络空间超级雷达,通过资产测绘的方法,对该漏洞进行监测,近3个月数据显示,Linux且开放SMB服务全球IP测绘数据946 条,国内资产较少,主要分布区域为美国、墨西哥等国家。
根据实际调研使用量,内网及互联网网络均有部署。建议客户尽快做好资产排查。
参考资料
https://github.com/torvalds/linux/commit/30210947a343b6b3ca13adc9bfc88e1543e16dd5
安恒信息CERT
2023年5月
原文始发于微信公众号(安恒信息CERT):【风险预警】Linux Kernel ksmbd 远程代码执行漏洞(CVE-2023-32254)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论