-
09/04/2020
-
116
-
1.185 bài viết
Lỗ hổng "điểm 10" trong Samba đe dọa máy chủ tên miền doanh nghiệp
Trong bối cảnh các doanh nghiệp chuyển đổi số mạnh mẽ, nhiều hệ thống công nghệ cũ như Samba (công cụ chia sẻ tệp tin phổ biến trên hệ điều hành Linux/Unix), vẫn đang âm thầm hoạt động trong mạng nội bộ của hàng ngàn tổ chức trên toàn thế giới. Tuy nhiên, chính những công cụ tưởng như “lành tính” này lại có thể trở thành cửa ngõ bị khai thác nguy hiểm nếu không được cập nhật thường xuyên.
Nhóm phát triển Samba (The Samba Team) đã phát hành cảnh báo bảo mật, công bố hai lỗ hổng an ninh. Trong đó, đáng chú ý nhất là lỗ hổng đầu tiên CVE-2025-10230, lỗ hổng được đánh giá mức độ nguy hiểm tối đa (CVSS 10), cho phép thực thi mã từ xa không cần xác thực trên các máy chủ Active Directory Domain Controller có cấu hình nhất định, ảnh hưởng đến nhiều hệ thống doanh nghiệp sử dụng cấu hình cũ hoặc lỗi thời.
Lỗ hổng chỉ ảnh hưởng đến các hệ thống Samba Active Directory Domain Controller (AD DC), tức là những máy chủ đóng vai trò quản lý xác thực, tên miền trong mạng doanh nghiệp, khi có kích hoạt tính năng WINS server và cấu hình tham số “wins hook” trong tập tin smb.conf.
Điều này có nghĩa là không phải tất cả hệ thống dùng Samba đều bị ảnh hưởng, nhưng với các tổ chức vẫn sử dụng hạ tầng tên miền cũ hoặc tích hợp WINS, nguy cơ là rất lớn.
Lỗ hổng CVE-2025-10230 bắt nguồn từ việc Samba không kiểm tra đầy đủ dữ liệu đầu vào khi thực hiện xử lý tên NetBIOS qua WINS server. Cụ thể, khi một client đăng ký tên hoặc cập nhật tên NetBIOS, Samba sẽ gọi thực thi một chương trình được chỉ định bởi “wins hook”.
Tuy nhiên, dữ liệu đầu vào (tên NetBIOS) lại không được kiểm tra hoặc lọc sạch ký tự đặc biệt, dẫn đến trường hợp kẻ tấn công có thể chèn mã độc vào chuỗi lệnh shell, chẳng hạn như: ";" hoặc "|" để ép Samba chạy lệnh hệ thống theo ý muốn.
Điều đáng sợ là cuộc tấn công này không yêu cầu đăng nhập, tức là bất kỳ ai trên mạng có thể khai thác, nếu họ truy cập được đến máy chủ chứa WINS.
Đây là một trong những kiểu tấn công nghiêm trọng nhất trong an ninh mạng hiện đại. Nếu thành công, kẻ tấn công có thể:
Trong một số trường hợp, vùng nhớ chưa được khởi tạo có thể bị ghi ra file, dẫn đến việc người dùng đã đăng nhập có thể đọc được dữ liệu còn sót lại trong bộ nhớ, có khả năng bao gồm thông tin nhạy cảm.
Mặc dù Samba đã có cơ chế xóa dữ liệu nhạy cảm trước khi giải phóng bộ nhớ, nhưng không phải toàn bộ vùng nhớ đều được làm sạch, dẫn đến rủi ro rò rỉ dữ liệu ở mức vừa phải.
Nguy cơ cao nhất nằm ở các doanh nghiệp vẫn duy trì các giải pháp hạ tầng nội bộ sử dụng Samba làm AD, đặc biệt là khi có cấu hình cũ hoặc không được kiểm toán thường xuyên. Hãy rà soát lại toàn bộ cấu hình hệ thống Samba, thực hiện cập nhật và đừng quên an toàn bắt đầu từ việc không coi thường những cảnh báo. Nếu bạn là quản trị hệ thống, nhà phát triển, hay phụ trách CNTT trong doanh nghiệp hãy chia sẻ bài viết này đến đồng nghiệp, để cả tổ chức nâng cao cảnh giác và có biện pháp bảo vệ kịp thời.
Nhóm phát triển Samba (The Samba Team) đã phát hành cảnh báo bảo mật, công bố hai lỗ hổng an ninh. Trong đó, đáng chú ý nhất là lỗ hổng đầu tiên CVE-2025-10230, lỗ hổng được đánh giá mức độ nguy hiểm tối đa (CVSS 10), cho phép thực thi mã từ xa không cần xác thực trên các máy chủ Active Directory Domain Controller có cấu hình nhất định, ảnh hưởng đến nhiều hệ thống doanh nghiệp sử dụng cấu hình cũ hoặc lỗi thời.
Lỗ hổng chỉ ảnh hưởng đến các hệ thống Samba Active Directory Domain Controller (AD DC), tức là những máy chủ đóng vai trò quản lý xác thực, tên miền trong mạng doanh nghiệp, khi có kích hoạt tính năng WINS server và cấu hình tham số “wins hook” trong tập tin smb.conf.
Điều này có nghĩa là không phải tất cả hệ thống dùng Samba đều bị ảnh hưởng, nhưng với các tổ chức vẫn sử dụng hạ tầng tên miền cũ hoặc tích hợp WINS, nguy cơ là rất lớn.
Lỗ hổng CVE-2025-10230 bắt nguồn từ việc Samba không kiểm tra đầy đủ dữ liệu đầu vào khi thực hiện xử lý tên NetBIOS qua WINS server. Cụ thể, khi một client đăng ký tên hoặc cập nhật tên NetBIOS, Samba sẽ gọi thực thi một chương trình được chỉ định bởi “wins hook”.
Tuy nhiên, dữ liệu đầu vào (tên NetBIOS) lại không được kiểm tra hoặc lọc sạch ký tự đặc biệt, dẫn đến trường hợp kẻ tấn công có thể chèn mã độc vào chuỗi lệnh shell, chẳng hạn như: ";" hoặc "|" để ép Samba chạy lệnh hệ thống theo ý muốn.
Điều đáng sợ là cuộc tấn công này không yêu cầu đăng nhập, tức là bất kỳ ai trên mạng có thể khai thác, nếu họ truy cập được đến máy chủ chứa WINS.
Đây là một trong những kiểu tấn công nghiêm trọng nhất trong an ninh mạng hiện đại. Nếu thành công, kẻ tấn công có thể:
- Cài mã độc hoặc phần mềm gián điệp
- Mở cửa hậu truy cập từ xa (backdoor)
- Chiếm quyền kiểm soát máy chủ
- Di chuyển ngang sang hệ thống nội bộ khác
Lỗ hổng thứ hai: Lộ dữ liệu bộ nhớ trong module vfs_streams_xattr (CVE-2025-9640)
Ngoài lỗi RCE, Samba còn công bố lỗ hổng trung bình khác mang mã CVE-2025-9640, liên quan đến module vfs_streams_xattr, cho phép đọc và ghi các “dòng dữ liệu mở rộng” (Alternate Data Streams) trên tệp tin.Trong một số trường hợp, vùng nhớ chưa được khởi tạo có thể bị ghi ra file, dẫn đến việc người dùng đã đăng nhập có thể đọc được dữ liệu còn sót lại trong bộ nhớ, có khả năng bao gồm thông tin nhạy cảm.
Mặc dù Samba đã có cơ chế xóa dữ liệu nhạy cảm trước khi giải phóng bộ nhớ, nhưng không phải toàn bộ vùng nhớ đều được làm sạch, dẫn đến rủi ro rò rỉ dữ liệu ở mức vừa phải.
Giải pháp và khuyến cáo từ chuyên gia an ninh mạng
Đối với CVE-2025-10230 (RCE nghiêm trọng):- Không cấu hình "wins hook" trong tập tin smb.conf trên Domain Controller
- Tắt hoàn toàn tính năng WINS (wins support = no) nếu không sử dụng
- Cập nhật ngay Samba lên các bản vá đã phát hành:
- Samba 4.23.2
- Samba 4.22.5
- Samba 4.21.9
Đối với CVE-2025-9640 (Rò rỉ dữ liệu bộ nhớ):
- Nếu không cần dùng tính năng ghi dòng dữ liệu mở rộng, loại bỏ module streams_xattr khỏi mục vfs objects trong cấu hình
- Ưu tiên cập nhật lên bản Samba đã được vá
Tóm tắt cảnh báo cần nhớ:
CVE-2025-10230 - RCE qua wins hook (NGHIÊM TRỌNG):- Mức độ: CVSS 10.0
- Ảnh hưởng: Samba AD DC có wins support + wins hook
- Hành động:
- Gỡ bỏ wins hook
- Tắt wins support nếu không cần
- Cập nhật Samba ngay
- Ảnh hưởng: Hệ thống dùng vfs_streams_xattr
- Hành động:
- Gỡ module nếu không cần
- Cập nhật Samba
Nguy cơ cao nhất nằm ở các doanh nghiệp vẫn duy trì các giải pháp hạ tầng nội bộ sử dụng Samba làm AD, đặc biệt là khi có cấu hình cũ hoặc không được kiểm toán thường xuyên. Hãy rà soát lại toàn bộ cấu hình hệ thống Samba, thực hiện cập nhật và đừng quên an toàn bắt đầu từ việc không coi thường những cảnh báo. Nếu bạn là quản trị hệ thống, nhà phát triển, hay phụ trách CNTT trong doanh nghiệp hãy chia sẻ bài viết này đến đồng nghiệp, để cả tổ chức nâng cao cảnh giác và có biện pháp bảo vệ kịp thời.
WhiteHat