В системе Samba обнаружена новая критическая уязвимость, позволяющая неавторизованным злоумышленникам выполнять произвольные команды на контроллерах домена. Уязвимость, получившая идентификатор CVE-2025-10230, оценивается по шкале CVSSv3.1 в максимальные 10.0 баллов, что отражает простоту эксплуатации и разрушительные последствия для конфиденциальности, целостности и доступности систем.
Детали уязвимости
Проблема возникает при активации поддержки WINS-сервера в Samba и указании параметра wins hook в файле конфигурации smb.conf. При таких условиях любое изменение имени WINS запускает указанную программу без должной проверки входных данных. Поскольку WINS-сервер передает имена напрямую в shell-команду, злоумышленник может создать специально сформированное имя NetBIOS, содержащее shell-метасимволы. После обработки такого имени внедренный вредоносный код выполняется на сервере с правами уровня системы.
Уязвимость затрагивает все версии Samba начиная с 4.0, работающие в роли контроллера домена Active Directory с включенной поддержкой WINS. Серверы, не выполняющие роли AD, а также автономные серверы и серверы-члены домена используют другую реализацию WINS-сервера и не подвержены данной проблеме. Хотя поддержка WINS по умолчанию отключена, многие администраторы активируют ее для интеграции унаследованных приложений.
Критический характер уязвимости обусловлен сочетанием сетевой доступности, отсутствия требований к аутентификации и получения полного контроля над системой при успешной эксплуатации. Удаленным злоумышленникам не требуются действительные учетные данные, а для атаки достаточно отправить специально сформированный WINS-запрос без какого-либо взаимодействия с пользователем. Это создает риск хищения данных, установки бэкдоров, развертывания программ-вымогателей или полного захвата контроля над инфраструктурой.
Высокий вектор CVSSv3.1 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) подчеркивает возможность чтения и записи памяти на уровне root. Организациям, использующим Samba в качестве контроллера домена с включенной поддержкой WINS, следует рассматривать данную уязвимость как требующую срочного реагирования.
Для устранения уязвимости выпущены исправления в версиях Samba 4.23.2, 4.22.5 и 4.21.9. Администраторам рекомендуется немедленно обновиться до одной из этих версий или применить официальный патч со страницы безопасности Samba. В средах, где немедленное обновление невозможно, эффективным временным решением является удаление или отключение параметра wins hook при сохранении поддержки WINS. Конкретно, явное указание "wins hook =" в файле smb.conf нейтрализует уязвимость, предотвращая вызов команды.
Альтернативным решением служит полное отключение поддержки WINS (wins support = no), что восстанавливает безопасное поведение по умолчанию, хотя может нарушить работу унаследованных систем разрешения имен. Администраторам следует провести аудит конфигураций контроллеров домена для проверки отсутствия ненужных хуков. В будущих выпусках Samba возможно полное удаление устаревшей функциональности WINS hook, поэтому командам, планирующим долгосрочные развертывания, следует пересмотреть зависимость от этого механизма.
CVE-2025-10230 представляет серьезную угрозу для любой организации, использующей контроллеры домена Samba AD с поддержкой WINS. Сочетание простоты сетевой эксплуатации и возможности выполнения произвольного кода требует незамедлительных действий. Применяя обновления или отключая уязвимую конфигурацию, администраторы могут защитить свои сети от удаленного захвата и сохранить целостность критически важных служб каталогов.
