Les machines sous Linux sont la proie d'une nouvelle faille de sécurité critique liée au protocole SMB et au composant ksmbd, ce qui expose les machines vulnérables à une compromission à distance. Faisons le point.

Toutes les machines sous Linux avec une distribution qui utilise une version de kernel antérieure à la version 5.15.61 sont affectées par une faille de sécurité critique qui hérite un score de CVSS de 10 sur 10 ! Créé par Namjae Jeon, ksmbd est un module du noyau Linux qui implémente un serveur SMB dans le but de pouvoir partager des fichiers ou des imprimantes, comme le propose Samba, par exemple. Là, c'est bien ksmbd qui est affecté directement par cette nouvelle faille de sécurité.

Les attaquants peuvent exploiter cette vulnérabilité située dans la commande SMB2_TREE_DISCONNECT pour exécuter du code arbitraire, à distance et sans authentification, sur la machine Linux ciblée. Il est à noter que ksmbd doit être activé pour que la machine soit vulnérable. Finalement, c'est assez rare, car les utilisateurs ont plutôt tendance à utiliser Samba qui est beaucoup plus populaire.

Si vous utilisez ce composant, il convient de vérifier les mises à jour sur la machine Linux concernée. Le kernel 5.15.61 ne date pas d'hier puisqu'il est disponible depuis août dernier, donc il y a des chances pour que votre machine utilise un noyau Linux patché (à vérifier pour chaque distribution, selon les versions, en fait).

Cette découverte est à mettre au crédit de l'équipe Thalium Team rattachée à Thales Group et composée d'Arnaud Gatignol, Quentin Minster, Florent Saudel, et de Guillaume Teissier comme le rapporte le site Zero Day Initiative. Cette faille de sécurité a été remontée à l'éditeur en juillet 2022.

Mise à part cette information, j'espère que vous avez passé un bon Noël ! Pour ceux qui sont en vacances, profitez bien ! Pour les autres, bon courage !

L'article Une vulnérabilité critique dans ksmbd, un module intégré au noyau Linux est disponible sur IT-Connect : IT-Connect.