概要
SambaのWINSサーバーフックスクリプトに、認証されていない攻撃者が影響を受けるドメインコントローラー上で任意のコマンドを実行できる重大な脆弱性が発見されました。この脆弱性はCVE-2025-10230として追跡されており、CVSSv3.1スコアは最大値の10.0を記録しています。これは、その悪用の容易さと、機密性、完全性、可用性への壊滅的な影響を反映しています。
脆弱性の詳細
この問題は、SambaのWINSサポートが有効で、ドメインコントローラーがsmb.confファイルにwins hookパラメータを指定している場合に発生します。Sambaの報告によると、これらの条件下では、WINS名の変更が、適切な入力検証なしに指定されたプログラムをトリガーします。
- CVE ID: CVE-2025-10230
- 影響を受けるバージョン: Samba 4.0以降の全バージョン
- CVSS 3.1 スコア: 10.0
- 影響の概要: ADコントローラー上の細工されたWINS名を介した、認証不要のリモートコード実行
WINSサーバーが名前を直接シェルコマンドに渡すため、攻撃者はシェルメタ文字を含む悪意のあるNetBIOS名を細工できます。この名前が処理されると、注入されたペイロードがシステムレベルの権限でサーバー上で実行されます。
デフォルトではWINSサポートは無効ですが、多くの管理者がレガシーアプリケーションを統合するために有効にしています。この脆弱性は、WINSサポートが有効なActive Directoryドメインコントローラーとして実行されているSambaのバージョン4.0以降のすべてに影響します。非AD役割、スタンドアロンサーバー、またはメンバーサーバーは異なるWINSサーバー実装を使用するため、影響を受けません。
深刻な影響
この脆弱性の重大な性質は、ネットワークからの露出、認証要件の欠如、および悪用成功時の完全なシステム制御の組み合わせに起因します。リモート攻撃者は有効な資格情報を必要とせず、特別に細工されたWINSリクエストを送信する以外にユーザーの操作は不要です。これにより、組織はデータ窃盗、バックドアの設置、ランサムウェアの展開、またはインフラストラクチャ全体の乗っ取りのリスクにさらされます。
高いCVSSv3.1ベクトル文字列(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)は、ルートレベルでのメモリの読み書きアクセスを強調しています。WINSが有効なドメインコントローラーとしてSambaを実行している組織は、この脆弱性を緊急の優先事項として扱う必要があります。
対策と推奨事項
Samba 4.23.2、4.22.5、および4.21.9用のパッチがリリースされています。管理者は、これらのバージョンのいずれかに直ちにアップグレードするか、Sambaのセキュリティページで入手可能な公式パッチを適用する必要があります。
すぐにアップデートできない環境では、wins hookパラメータを削除または無効にすることが効果的な回避策となります。具体的には、smb.confでwins hook =と明示的に設定することで、コマンドの呼び出しを防ぎ、脆弱性を無効化できます。あるいは、WINSサポートを完全に無効にする(wins support = no)ことで、デフォルトの安全な動作に戻すことができますが、これはレガシーな名前解決に影響を与える可能性があります。
管理者は、不必要なフックが存在しないことを確認するために、ドメインコントローラーの設定を監査する必要があります。Sambaの将来のリリースでは、非推奨のWINSフック機能が完全に削除される可能性があるため、長期的な展開を計画しているチームは、このメカニズムへの依存を再検討する必要があります。
結論
CVE-2025-10230は、WINSサポートが有効なSamba ADドメインコントローラーを使用するあらゆる組織にとって深刻なリスクをもたらします。ネットワークベースの容易な悪用と完全なコード実行の組み合わせは、即時の対応を要求します。アップデートを適用するか、脆弱な設定を無効にすることで、管理者はネットワークをリモートからの乗っ取りから保護し、重要なディレクトリサービスの整合性を維持することができます。