-2.png)
Was ist ksmbd und in welcher Beziehung steht es zu dieser Linux-Kernel-Schwachstelle?
ksmbd ist eine Linux-Kernelkomponente, die für die Bearbeitung von SMB-Protokollanfragen (Server Message Block) zuständig ist. SMB ist ein Netzwerkprotokoll, das für die gemeinsame Nutzung und das Drucken von Dateien zwischen Geräten in einem Netzwerk verwendet wird.
ksmbd wird vom Linux-Kernel verwendet, um eingehende SMB-Anfragen zu bearbeiten und die notwendigen Aktionen durchzuführen, um diese Anfragen zu erfüllen. Dies kann das Lesen oder Schreiben von Dateien, das Erstellen von Verzeichnissen oder das Drucken von Dokumenten beinhalten.
Es ist ein wesentlicher Bestandteil des Linux-Kernels, der eine entscheidende Rolle bei der Aktivierung von Filesharing und anderen Netzwerkdiensten auf Linux-basierten Systemen spielt.
Worum geht es bei dieser Linux-Kernel-Schwachstelle?
Die Sicherheitslücke ksmbd Use-After-Free Remote Code Execution im Linux-Kernel ist ein Sicherheitsproblem, das im Juli 2022 im Linux-Kernel entdeckt wurde. Die Sicherheitsanfälligkeit, die als Use-After-Free Remote Code Execution-Schwachstelle eingestuft ist, ermöglicht es einem Angreifer, beliebigen Code auf einem anfälligen System auszuführen.
Die Sicherheitslücke besteht in der ksmbd-Komponente des Linux-Kernels, die für die Verarbeitung von SMB-Protokollanfragen (Server Message Block) verantwortlich ist. SMB ist ein Netzwerkprotokoll, das für die gemeinsame Nutzung und das Drucken von Dateien zwischen Geräten in einem Netzwerk verwendet wird.
Die Sicherheitsanfälligkeit kann von einem Angreifer ausgenutzt werden, der eine böswillige SMB-Anfrage an ein anfälliges System senden kann. Das System überprüft nicht die Existenz eines Objekts, was es dem Angreifer ermöglicht, seinen eigenen Code auf dem System auszuführen. Dadurch kann sich der Angreifer möglicherweise unbefugten Zugriff auf das System verschaffen.
Sind Ihre Systeme von dieser Linux-Kernel-Schwachstelle betroffen?
Die GraphQL-basierte Abfragesprache von Mondoo, MQL, ermöglicht es Ihnen, schnell Informationen über installierte Pakete auf Ihren Assets zu sammeln, einschließlich Container-Images, VMs, Bare-Metal-Servern... einfach alles.
Falls Sie cnquery noch nicht installiert haben, folgen Sie unseren Anleitung. Sobald Sie es installiert haben, können Sie Informationen über installierte Pakete auf Ihren Systemen sammeln:
packages.where(name == /ksmbd/)Identifizieren Sie die laufende Kernelversion.
kernel.infoStellen Sie fest, ob das ksmb-Kernelmodul geladen ist.
kernel.modules.where( name == /ksmb/ )
Holen Sie sich die erforderlichen Informationen mit cnquery um eine Verbindung zu Ihren Zielen über SSH herzustellen:
cnquery scan ssh vagrant@192.168.56.247 --ask-pass --querypack mondoo-linux-incident-response
Wenn das ksmb-Kernelmodul nicht geladen und das ksmbd-Paket nicht installiert ist, sind Sie von dieser Sicherheitsanfälligkeit nicht betroffen.
Die Sicherheitsanfälligkeit ist in der Kernelversion 5.15.61 behoben, und die meisten Leute verwenden die LTS-Kernelversion (Long Term Stable), und alle von ZDI gemeldeten Probleme sind behoben, die Patches wurden an diese Kernelversionen weitergegeben.
