Freym PC Blog

Vulnerabilidad crítica de ejecución remota de código (RCE) en SAMBA

Admin
October 24, 2025
Vulnerabilidad crítica de ejecución remota de código (RCE) en SAMBA
Translate to:

Durante la semana del 17 al 23 de octubre de 2025, se ha confirmado la existencia de una nueva vulnerabilidad crítica de ejecución remota de código (RCE) en Samba, catalogada como CVE‑2025‑10230, la cual ha sido calificada con la máxima severidad (CVSS 3.1 = 10.0, nivel crítico). Esta falla afecta directamente a servidores Samba configurados como controladores de dominio Active Directory (AD) que tienen habilitado el servicio WINS con el parámetro wins hook activo.

Descripción técnica

  • Identificador: CVE‑2025‑10230
  • Tipo: Command Injection / Remote Code Execution (RCE)
  • Severidad: Crítica (10.0)
  • Fecha de divulgación: 15 de octubre de 2025
  • Componentes afectados: WINS server / wins hook
  • Versión afectada: Todas las versiones de Samba ≤ 4.23.1 (4.21.x – 4.22.x también incluidas).
  • Investigador descubridor: Igor Morgenstern (Aisle Research).

Mecanismo de explotación

El fallo reside en una validación insuficiente de entrada en el componente WINS de Samba cuando procesa peticiones de actualización de nombres NetBIOS. El parámetro wins hook define un script que Samba ejecuta al registrar o modificar entradas WINS. La vulnerabilidad permite a un atacante remoto inyectar caracteres de shell (por ejemplo ;, |, $()) dentro del nombre NetBIOS, que el código de Samba posteriormente introduce sin filtrar en un comando del sistema.

Ejemplo conceptual simplificado:

nbname = "SERVER01;cat /etc/passwd"
smbd: execute("/bin/sh -c wins_hook" + nbname)

Si el servidor corre con privilegios root (en un controlador de dominio AD), esto conduce a ejecución total de código arbitrario sin autenticación.

Impacto

  1. Compromiso completo del controlador de dominio: el atacante obtiene privilegios root.
  2. Movimiento lateral en entornos AD, pudiendo obtener credenciales Kerberos o NTLM.
  3. Exfiltración de datos sensibles y manipulación de directorios, políticas de grupo y usuarios.
  4. Disrupción de servicios de red (SMB, DNS interno, autenticación corporativa).
  5. Instalación de puertas traseras persistentes, incluso tras la remediación inicial.

Alcance de afectación

Versión Afectada Detalles
Samba ≤ 4.23.1 Vulnerable por defecto si wins support=yes y wins hook configurado
4.21.8 – 4.22.4 Vulnerable por el mismo defecto en entornos AD antiguos
≥ 4.23.2  /  ≥ 4.22.5  /  ≥ 4.21.9 No Versión con parche publicado el 16 de octubre de 2025

Nota: solo se ve afectado si Samba opera como controlador de dominio con WINS activo — no en modo standalone ni como file server.

Mitigación y contramedidas

1. Actualizar Samba inmediatamente

2. Deshabilitar temporalmente el servicio WINS

wins support = no

3. Eliminar o comentar la directiva wins hook en smb.conf. 4. Revisar logs de WINS/NetBIOS y tráfico UDP puerto 137 para detectar explotaciones anteriores. 5. Aplicar principios de segmentación de red y aislar controladores de dominio expuestos a entornos externos.

Riesgos colaterales y contexto

  • La vulnerabilidad se descubrió tras incidentes de explotación en entornos AD híbridos, donde equipos Unix/Linux coexistían con infraestructuras Windows Server.
  • Firmas de ciberseguridad reportaron intentos de uso de esta falla por grupos APT asiáticos para penetrar dominios corporativos de energía y telecomunicaciones.
  • Investigadores han creado Proof of Concept en entornos contenedorizados, demostrando explotación en menos de dos segundos desde la recepción del paquete NetBIOS.

Evaluación comparativa

Este fallo recuerda a las vulnerabilidades históricas CVE‑2021‑44142 (SMB1) y CVE‑2017‑7494 que permitían ejecución remota desde clientes maliciosos. Sin embargo, CVE‑2025‑10230 es aún más crítica por su grado de automatización y ausencia de autenticación.

Comments (0)

No comments yet. Be the first to comment!