Свободный пакет сетевого взаимодействия Samba, обеспечивающий интеграцию Linux-систем в домены Windows, по умолчанию используется в огромном количестве корпоративных сетей. Именно поэтому обнаруженная в нём критическая уязвимость заслуживает самого пристального внимания. Она позволяет любому удалённому злоумышленнику без какой-либо аутентификации выполнить произвольный код на сервере и полностью скомпрометировать инфраструктуру.
Детали уязвимости
Речь идёт об уязвимости, зарегистрированной в Банке данных угроз безопасности (BDU) как BDU:2026-07316 и получившей идентификатор CVE-2026-4408. Проблема была выявлена 26 мая 2026 года и подтверждена разработчиками Samba Team. Её причина кроется в недостаточной фильтрации данных внутри функции "check password script" модуля DCE/RPC SAMR server.
Модуль DCE/RPC (Distributed Computing Environment / Remote Procedure Call) реализует стандарт удалённого вызова процедур, а SAMR (Security Account Manager Remote) предоставляет интерфейс для управления учётными записями. При настройке сервера администратор может задать внешний скрипт проверки пароля, который вызывается при попытке смены или установки пароля пользователем. В качестве аргумента этому скрипту, помимо прочего, передаётся имя учётной записи через специальный параметр %u. Именно в его обработке и была допущена ошибка: специально сформированные символы не обезвреживаются, что приводит к внедрению произвольных команд операционной системы. Эксплуатация элементарна - достаточно отправить особым образом составленный RPC-запрос к службе SAMR.
Данный недостаток классифицирован как CWE-78 (внедрение в команду операционной системы). По обеим шкалам CVSS уязвимость получила максимальную базовую оценку 10. Это означает, что сложность атаки низка, права не требуются, атака возможна удалённо, а влияние на конфиденциальность, целостность и доступность данных оценивается как высокое. В версии CVSS 3.1 дополнительно подчёркивается, что скомпрометированный компонент может повлиять на другие части системы.
Уязвимости подвержены пакеты Samba версий до 4.22.10, до 4.23.8 и до 4.24.3. Кроме того, поскольку Samba поставляется в составе операционных систем на ядре Linux, в зоне риска оказались дистрибутивы Debian GNU/Linux 12 и 13. Важно отметить, что для данной уязвимости уже существует общедоступный эксплойт - код, автоматизирующий её эксплуатацию. Это резко снижает порог входа для потенциальных нарушителей и повышает вероятность массовых атак.
Каковы же возможные последствия? Успешная атака позволяет злоумышленнику добиться выполнения произвольного кода с теми привилегиями, которыми обладает серверный процесс Samba. Во многих конфигурациях это означает полный административный доступ к серверу. Далее атакующий может похитить конфиденциальные данные, установить программы-вымогатели, нарушить работу критически важных служб или использовать захваченный узел как плацдарм для продвижения по корпоративной сети. Если взломанный сервер выполняет роль контроллера домена, вся сетевая инфраструктура организации оказывается под угрозой.
Разработчики Samba уже выпустили исправления, закрывающие данную уязвимость. Специалистам по информационной безопасности следует незамедлительно обновить программные пакеты до версий 4.22.10, 4.23.8, 4.24.3 или новее. Владельцам Debian необходимо следить за обновлениями в официальных репозиториях и применить патчи, как только они станут доступны. Официальные рекомендации размещены на сайте samba.org и в трекере безопасности Debian.
Если немедленное обновление по каким-то причинам невозможно, стоит использовать компенсирующие меры. Во-первых, следует ограничить использование символа подстановки %u в скрипте проверки пароля. Там, где от него нельзя отказаться полностью, настоятельно рекомендуется заключать данный параметр в одинарные кавычки, что блокирует интерпретацию вредоносных конструкций командной оболочкой. Во-вторых, можно предотвратить запуск службы samba-dcerpcd в качестве системной службы: для этого в конфигурационном файле параметру "rpc start on demand helpers" следует присвоить значение по умолчанию - "yes". Наконец, администраторам советуют изменить скрипт проверки пароля так, чтобы имя пользователя извлекалось не из ненадёжного параметра, а из переменной окружения SAMBA_CPS_ACCOUNT_NAME. Эти шаги позволят значительно снизить риск, пока не будет выполнено полноценное обновление.
Уязвимости, сочетающие простоту эксплуатации с катастрофическими последствиями, требуют максимально быстрой реакции. Учитывая открытую доступность эксплойта, промедление с установкой заплат может обернуться для организаций не просто утечкой данных, а полной остановкой бизнес-процессов. Ответственным специалистам стоит проверить конфигурации всех Samba-серверов и убедиться, что они не подвержены атаке через скрипт проверки пароля.
Ссылки
- https://bdu.fstec.ru/vul/2026-07316
- https://www.cve.org/CVERecord?id=CVE-2026-4408
- https://lists.samba.org/archive/samba-announce/2026/000724.html
- https://www.samba.org/samba/security/CVE-2026-4408.html
- https://security-tracker.debian.org/tracker/CVE-2026-4408
