Qualquer distro usando o kernel Linux 5.15 ou inferior é potencialmente vulnerável, incluindo Ubuntu 22.04 – é recomendado atualizar para a versão 5.15.61. A falha foi introduzida ao kernel em 2021 por um commit realizado pela Samsung e é classificada como 9,6 na escala de 0 a 10 do Vulnerability Scoring System.
Para verificar a vulnerabilidade em seu sistema operacional será necessário 3 comandos:
uname -r
# comando do artigo $ modinfo ksmb
# comando correto
modinfo ksmbd
# verificar se o módulo foi carregado (créditos a @andrebarreto)
lsmod | grep ksmbd
Se não localizar NÃO precisa atualizar.
Minha opnião: Ideal aguardar a versão estável do Kernel para efetuar a atualização através do gerenciador de pacotes da sua distribuição. Atualizar de forma alternativa pode ser mais problemático do que manter essa falha de segurança.
Fazendo uma pequena correção, o nome do módulo do kernel é ksmbd. Então o comando seria:
modinfo ksmbd
Para saber se o módulo está carregado, pode usar o comando abaixo:
lsmod | grep ksmbd
Nossa @andrebarreto que erro grave!!
O artigo postado aqui informa o módulo ERRADO. Pesquisei outros sites na internet temos os 2 modulos sendo divulgados. E realmente pelo que verifiquei o modulo ksmb não existe. O correto é ksmbd.
@NewsletterOficial melhor trocar o link da fonte.
Sugestão: https://www.cisecurity.org/advisory/a-vulnerability-in-ksmbd-for-linux-could-allow-for-remote-code-execution_2022-147
Atualizei meu comentário com essa informação!
@rodrigoKulb criei um script para facilitar os testes, visto que a vulnerabilidade existe nas versões de kernel de 5.15.x até 5.19.x, mas foram corrigidas nas versões >= 5.15.61 e >= 5.19.2.
Ele ainda vai ser disponibilizado no site da minha empresa (www.netsensor.com.br) mas para quem quiser já ir usando, pode acessar ele no meu github https://github.com/andrebarretosantos/security/blob/main/check_ksmbd_kernel_vulnerability.sh.
Ele é relativamente mais complexo do que o script do colega @michaelmoreira, devido aos testes necessários da versão do kernel.
Também escrevi uma postagem na página da empresa sobre a vulnerabilidade e o script de teste. Caso queira usar esse artigo como nova referência (em português) ficarei agradecido: https://www.netsensor.com.br/post/nova-vulnerabilidade-no-kernel-linux
@andrebarreto o que acha de criar esse artigo aqui no tabnews, colocando a referencia do seu site? Acho que poderia explicar até que alguns artigos estão com erro no comando alguem postou esqueceu a ultima letra do modulo, e o pessoal acabou replicando.
Parabéns pelo script ficou TOP!
@rodrigoKulb artigo criado: https://www.tabnews.com.br/andrebarreto/nova-vulnerabilidade-no-modulo-ksmbd-do-kernel-linux
Obrigado pela sugestão! ;)
Esperando algum mago do linux escrever um tópico mostrando como identificar a versão do kernel e como atualizar.
Mas eu posso adiantar como ver a versão do kernel, basta executar o comando:
uname -r
OMG 🙄️
uname -r
5.15.0-56-generic
Isso eu até adiantei na minha resposta, agora seria interessante alguém criar um tópico ensinando a atualizar o kernel
Completei a informação em outro comentário!
https://www.tabnews.com.br/rodrigoKulb/5f14b049-cc5f-44a7-8706-52772fc12843
Eu encontrei esse artigo mostrando como atualizar a versão do Kernel. Aqui não funcionou (acredito que por ser o Ubuntu Arm): https://askubuntu.com/questions/1388115/how-do-i-update-my-kernel-to-the-latest-one
Eu acabei usando o comando do-release-upgrade tive que usar mais de uma vez, pois a versão mais atual do kernel é a 5.19.
Pessoal, cuidado, pois as versões 5.16.0 e e 5.19.0 que constam nesse artigo não estão dentre as versões onde a vulnerabilidade foi corrigida.
Para quem quiser saber um pouco mais sobre o assunto, como testar se o kernel está vulnerável e até usar um script automatizado para análise do kernel, acesse esse artigo da empresa de segurança cibernética NETSENSOR https://www.netsensor.com.br/post/nova-vulnerabilidade-no-kernel-linux.
Ou ainda, pode encontrar informações no meu LinkedIn https://www.linkedin.com/in/andrebarretosantos/ ou no LinkedIn da NETSENSOR https://www.linkedin.com/company/netsensor/
@JeanJr
Escrevi essa artigo aqui no tabnews explicando os procedimentos e cuidados com informações divergentes que estão rolando na internet.
https://www.tabnews.com.br/andrebarreto/nova-vulnerabilidade-no-modulo-ksmbd-do-kernel-linux
Como testar seu Kernel + Script para análise
Para quem quiser saber um pouco mais sobre essa vulnerabilidade do Kernel Linux, como testar se o kernel está vulnerável e até usar um script automatizado para análise do kernel, acesse esse artigo da empresa de segurança cibernética NETSENSOR: https://www.netsensor.com.br/post/nova-vulnerabilidade-no-kernel-linux.
O script facilita os testes, visto que a vulnerabilidade existe nas versões de kernel 5.15.x, 5.16.x, 5.17.x, 5.18.x e 5.19.x, mas foram corrigidas nas versões >= 5.15.61 e >= 5.19.2.
Além da versão do Kernel, ele testa se o módulo existe e se está carregado no Kernel.
Ou ainda, pode encontrar informações no meu LinkedIn https://www.linkedin.com/in/andrebarretosantos/ ou no LinkedIn da NETSENSOR https://www.linkedin.com/company/netsensor/
Seguindo a sugestão do colega @rodrigoKulb, publiquei um artigo aqui no tabnews:
https://www.tabnews.com.br/andrebarreto/nova-vulnerabilidade-no-modulo-ksmbd-do-kernel-linux
Nos últimos dois dias estive trabalhando em um script para verificar se essa vulnerabilidade constava nas instancias que temos na AWS.
Disponibilizei o script para quem tem interesse.
https://github.com/michaelmoreira/check-vulnerability-ksmbd
CentOS v7.9.2009 STANDARD kvm está limpo
[email protected] uname -r
3.10.0-1160.81.1.el7.x86_64
[email protected] modinfo ksmb
modinfo: ERROR: Module ksmb not found.
[email protected]
Dê uma olhada com atenção antsoftsystems, pois esse kernel é tão antigo que nem existia o ksmbd ainda. Embora no contexto da vulnerabilidade tratada nesse tópido isso possa ser considerado bom, por outro lado a quantidade de outras vulnerabilidade que devem existir tanto no teu kernel quanto, principalmente, nas aplicações que compoẽm teu GNU/Linux deve ser de assustar. Fica a dica ;)
andrebarreto,
Estamos sim sempre de olho.
Outras vunerabilidades, sempre corrigidas, pois sempre buscamos atualizar o Kernel, mesmo antigo ainda é o que usamos no server da VPS.
Não sei se já comentaram isso mas pra quem utiliza o Windows Subsystem for Linux (WSL):
wsl -v e verifiquem a linha Versão do Kernel.5.15.61, digite o comando wsl --update e esperem a atualização.No momento em que escrevo este comentário a versão mais recente do Kernel Linux para o WSL2 é a 5.15.79.1.
Distros RedHat e Suse por padrão não utilizam