El equipo de Samba ha emitido un aviso crítico de seguridad que aborda dos vulnerabilidades, incluyendo una falla crítica de inyección de comandos (CVE-2025-10230) que puede permitir la ejecución remota de código (RCE) no autenticada en los controladores de dominio de Active Directory (DCs AD) de Samba.

Esta vulnerabilidad tiene una puntuación CVSS de 10.0, la más alta posible, y afecta a sistemas donde el servidor WINS está habilitado con el parámetro «wins hook» configurado. Otros servidores Samba, como los servidores miembro o hosts independientes, no se ven afectados.

El problema se origina en una validación de entrada insuficiente en la implementación del servidor WINS en los DCs AD de Samba. Al registrar o cambiar un nombre WINS, Samba ejecuta el programa especificado en el parámetro «wins hook», pero no filtra adecuadamente los datos de entrada que se envían al shell del sistema.

«El servidor WINS utilizado por el controlador de dominio de Active Directory de Samba no valida los nombres enviados al programa wins hook, transmitiéndolos directamente en una cadena ejecutada por un shell», aclara el aviso.

Esto significa que un cliente malintencionado podría enviar un nombre NetBIOS diseñado específicamente, incluyendo metacaracteres de shell (como ; o |), lo que permite la ejecución de comandos arbitrarios en el controlador de dominio afectado.

Como el ataque no requiere autenticación, representa un riesgo considerable para las redes empresariales que operan con configuraciones obsoletas o heredadas.

«WINS es un protocolo obsoleto y confiable… Los clientes pueden solicitar cualquier nombre que cumpla con el límite de 15 caracteres de NetBIOS. Esto incluye algunos metacaracteres de shell, lo que posibilita la ejecución de comandos arbitrarios en el host», agregó el equipo de Samba. El aviso también indica: «El servidor WINS utilizado por Samba cuando no es un controlador de dominio no se ve afectado».

Como medida de mitigación inmediata, los administradores deben evitar configurar el parámetro «wins hook» en su archivo smb.conf en los controladores de dominio. También se sugiere deshabilitar WINS completamente (wins support = no) para eliminar la exposición. El valor predeterminado ya es «no».

El equipo de Samba también advirtió que la función «wins hook» está prácticamente obsoleta y podría eliminarse en futuras versiones.

Además de la vulnerabilidad de RCE, Samba también corrigió un segundo problema, CVE-2025-9640, con una calificación CVSS de 4.3 (Media), que involucra una divulgación de memoria no inicializada en el módulo vfs_streams_xattr. «La memoria no inicializada puede escribirse en flujos de datos alternativos, lo que podría llevar a la filtración de datos confidenciales», según explica el aviso.

Este error podría permitir a usuarios autenticados leer partes de la memoria a través de solicitudes de escritura que crearían vulnerabilidades en los archivos, exponiendo fragmentos de datos de operaciones anteriores.

Los sistemas que no utilizan vfs_streams_xattr no están afectados y este problema puede mitigarse temporalmente eliminando el módulo de la configuración.

El equipo de Samba ha lanzado las versiones 4.23.2, 4.22.5 y 4.21.9, que solucionan ambas vulnerabilidades. Se recomienda encarecidamente a los administradores que actualicen o apliquen los parches manualmente de inmediato.

Fuente: SecurityOnline


Con Información de blog.segu-info.com.ar