В ядре Linux обнаружена критическая уязвимость в реализации KSMBD (встроенного SMB-сервера), позволяющая удаленным злоумышленникам полностью исчерпывать ресурсы соединений сервера с помощью простой атаки типа «отказ в обслуживании» (Denial of Service, DoS). Уязвимость, получившая идентификатор CVE-2025-38501 и название «KSMBDrain», дает возможность злонамеренным акторам делать сервисы SMB недоступными путем потребления всех доступных подключений.
Детали уязвимости
Согласно отчету GitHub, уязвимость эксплуатирует механизм обработки соединений KSMBD через простой вектор атаки. Удаленные атакующие могут устанавливать TCP-соединения с сервером KSMBD, завершая начальное трехстороннее рукопожатие, но затем намеренно перестают отвечать на последующие пакеты. Сервер продолжает удерживать эти брошенные соединения неограниченно долго по умолчанию, что позволяет злоумышленникам систематически потреблять все доступные слоты подключений.
Этот метод атаки особенно опасен, поскольку требует минимальных ресурсов со стороны атакующего, при этом вызывая максимальные disruption (нарушения работы) целевого сервера. Даже когда администраторы настраивают таймауты соединений в файле конфигурации пользовательского пространства, минимальная настройка таймаута в одну минуту все равно предоставляет злоумышленникам достаточно времени для повторных попыток исчерпания соединений с одного IP-адреса.
Уязвимость затрагивает все версии ядра Linux начиная с 5.3, что отмечает момент слияния KSMBD с основным ядром. Это охватывает практически все современные дистрибутивы Linux, использующие сервисы SMB через встроенную реализацию KSMBD, что делает потенциальное воздействие чрезвычайно широким в корпоративных и персональных вычислительных средах. Организации, полагающиеся на файловые серверы на основе Linux, устройства сетевого хранения данных (NAS) и любые системы, предоставляющие сервисы SMB/CIFS через KSMBD, сталкиваются с немедленным риском.
Атака может быть выполнена удаленно без аутентификации, что делает ее доступной как для опытных акторов, так и для оппортунистических атакующих, сканирующих уязвимые системы. Разработчики ядра Linux устранили проблему в коммите e6bb9193974059ddbb0ce7763fa3882bd60d4dc3, реализовав правильное управление соединениями для предотвращения исчерпания ресурсов.
Системным администраторам следует расставить приоритеты обновлению до исправленных версий ядра и пересмотреть конфигурации своих SMB-сервисов для реализации соответствующих ограничений соединений и таймаутов в качестве дополнительных защитных мер. Своевременное применение исправлений и настройка защитных механизмов помогут снизить риски, связанные с этой критической уязвимостью, и обеспечить непрерывность работы сетевых сервисов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-38501
- https://nvd.nist.gov/vuln/detail/CVE-2025-38501
- https://github.com/keymaker-arch/KSMBDrain
- https://git.kernel.org/stable/c/cb092fc3a62972a4aa47c9fe356c2c6a01cd840b
- https://git.kernel.org/stable/c/fa1c47af4ff641cf9197ecdb1f8240cbb30389c1
- https://git.kernel.org/stable/c/7e5d91d3e6c62a9755b36f29c35288f06c3cd86b
- https://git.kernel.org/stable/c/f1ce9258bcbce2491f9f71f7882b6eed0b33ec65
- https://git.kernel.org/stable/c/6073afe64510c302b7a0683a01e32c012eff715d
- https://git.kernel.org/stable/c/e6bb9193974059ddbb0ce7763fa3882bd60d4dc3
