Un defecto de denegación de servicio en el subsistema KSMBD (SMB Direct) de Linux Kernel ha generado alarmas en la comunidad de código abierto.
Rastreado como CVE-2025-38501, el problema permite que un adversario remoto y no autenticado agote todas las conexiones SMB disponibles explotando el manejo del núcleo de sesiones TCP medio abiertas.
Control de llave
1. CVE-2025-38501 permite a los atacantes agotar las conexiones KSMBD a través de apretones de manos TCP medio abierto.
2. POC “KsmbDrain” inunda los servidores con paquetes SYN para activar el defecto.
3. Parcheado en Linux 6.1.15+; Puerto de actualización o tasa de límite 445.
Una exploit de prueba de concepto pública, denominada KSMBDrain, demuestra cómo los atacantes pueden abrumar un servidor KSMBD simplemente iniciando miles de apretones de manos de tres vías TCP y luego no pueden completar la sesión, haciendo que el servidor sostenga las sociedades indefinidamente.
KSMBD DOS Ataque
El defecto se origina en el comportamiento predeterminado de KSMBD de retener las conexiones incompletas sin un límite superior en los enchufes Syn -Aack pendientes. Cuando un cliente envía un SYN, el kernel responde con un Syn – Aack y espera el ACK final.
Si ese ACK nunca llega, KSMBD mantendrá la ranura de conexión abierta. Al enviar repetidamente los paquetes SYN desde una sola dirección IP, un atacante puede saturar el límite Max_Connections del servidor configurado en /etc/ksmbd/ksmbd.conf, lo que resulta en una negación completa del tráfico SMB legítimo posterior.
Aunque los administradores pueden establecer un HandShake_TimeOut tan bajo como un minuto, esto solo ralentiza el ataque en lugar de prevenirlo, ya que un atacante puede reabrir continuamente nuevas sesiones medio abiertas.
El público POC disponibleEscrito en Python, aprovecha los enchufes crudos a los intentos de apretón de manos de los desove de masa. Un fragmento de Poc.py revela la simplicidad de la exploit:
KSMBD DOS Ataque
Ejecución de este script contra un servidor vulnerable agota rápidamente el grupo de conexión, lo que hace que las acciones de SMB sean inaccesibles y detengan efectivamente las transferencias de archivos y los servicios de autenticación.
Factores de riesgo El subsistema KSMBD de Kernel Kernel Kernel Kernel (versiones 5.3 y posteriores) de la conectividad de la red de prequisitos de servicio de servicio. No se requiere autenticación CVSS 3.1 Scorenot aún asignado
Mitigaciones
La vulnerabilidad se introdujo en Linux Kernel 5.3 cuando el módulo KSMBD se fusionó en la línea principal. Los mantenedores ascendentes abordaron el problema en Commit E6BB9193974059DDBB0CE7763FA3882BD60D4DC3, que agrega un límite de retroceso configurable y hace cumplir un umbral TCP_SYACH_RRETRIES más corto para las enchufes medio abiertas.
Las distribuciones han comenzado a implementar paquetes de kernel actualizados; Los usuarios deben aplicar la solución actualizando a Linux 6.1.15 o posterior.
En entornos donde una actualización inmediata del núcleo no es práctica, la limitación de la velocidad a nivel de red en el puerto TCP 445 y las reglas de firewall más estrictas pueden ayudar a mitigar la explotación.
Además, se aconseja a los equipos de seguridad que supervisen un número anormal de paquetes SYN y ajustar la configuración del espacio de usuario de KSMBD para reducir el handshake_timeout y limitar los recuentos de acumulación.
Como los servicios de SMB siguen siendo un componente crítico para el intercambio de archivos y la autenticación en las redes empresariales, el parche de inmediato es esencial.
La explotación de KsmbDrain subraya la importancia de defender contra ataques de agotamiento de recursos que aprovechan las peculiaridades a nivel de protocolo en lugar de la inyección de código o la escalada de privilegios.
El monitoreo continuo y el mantenimiento de versiones de núcleo actualizadas mitigarán el riesgo planteado por CVE-2025-38501.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
