آسیب‌پذیری Samba CVE-2025-10230

آسیب‌پذیری بحرانی در Samba امکان اجرای کد از راه دور را برای مهاجمان فراهم می‌کند

مقدمه

پژوهشگران امنیتی از کشف یک آسیب‌پذیری بسیار بحرانی در Samba خبر داده‌اند که به مهاجمان غیرمجاز اجازه می‌دهد دستورات دلخواه را از راه دور روی کنترل‌کننده‌های دامنه (Domain Controllers) اجرا کنند.
این آسیب‌پذیری با شناسه CVE-2025-10230 و امتیاز CVSSv3.1: 10.0 شناسایی شده است و یکی از خطرناک‌ترین آسیب‌پذیری‌های سال ۲۰۲۵ محسوب می‌شود.

به گفته تیم Samba، نقص امنیتی در ماژول WINS Server Hook Script قرار دارد و زمانی فعال می‌شود که ویژگی WINS support در پیکربندی فعال و پارامتر wins hook در فایل smb.conf تعریف شده باشد.

 جزئیات آسیب‌پذیری

در شرایطی که WINS فعال باشد، هرگونه تغییر در نام WINS باعث فراخوانی مستقیم اسکریپت تعریف‌شده در پارامتر wins hook می‌شود.
مشکل از آن‌جاست که ورودی‌های این نام‌ها بدون بررسی معتبرسازی به پوسته سیستم (Shell) ارسال می‌شوند.

در نتیجه، مهاجم می‌تواند یک نام NetBIOS مخرب ایجاد کند که شامل کاراکترهای خاص پوسته (Shell Metacharacters) باشد.
زمانی که سرور WINS این نام را پردازش کند، دستور تزریق‌شده مهاجم با سطح دسترسی Root یا System اجرا می‌شود.

این حمله کاملاً بدون نیاز به احراز هویت انجام می‌شود و هیچ تعامل کاربری لازم ندارد.
به بیان ساده، مهاجم تنها با ارسال یک درخواست WINS ساختگی می‌تواند کنترل کامل سیستم را به‌دست گیرد.

 تأثیر و گستره آسیب‌پذیری

این نقص تمامی نسخه‌های Samba از ۴.۰ به بعد را در حالت Active Directory Domain Controller و زمانی که WINS Support فعال باشد تحت‌تأثیر قرار می‌دهد.

سیستم‌های Samba که به عنوان عضو دامنه (Member Server) یا سرور مستقل (Standalone) پیکربندی شده‌اند، از نسخه متفاوتی از WINS استفاده می‌کنند و در معرض خطر نیستند.

به‌دلیل اینکه مهاجم نیازی به دسترسی معتبر یا احراز هویت ندارد، این آسیب‌پذیری به یکی از آسیب‌پذیری‌های با ریسک بالا و احتمال سوءاستفاده فوری (Zero-Day Exploit) تبدیل شده است.

پیامدهای بالقوه شامل موارد زیر است:

• اجرای کد از راه دور (RCE) با سطح دسترسی کامل

• نصب Backdoor یا Rootkit در سرور

• سرقت داده‌ها و حملات باج‌افزاری

• از کار انداختن سرویس‌های حیاتی دامنه

بردار حمله بر اساس بردار CVSS به‌صورت زیر تعریف می‌شود:
AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
که بیانگر حمله از طریق شبکه، پیچیدگی پایین، بدون احراز هویت و تأثیر بالا است.

 نسخه‌های وصله‌شده و به‌روزرسانی‌های منتشرشده

توسعه‌دهندگان Samba در واکنش سریع به این آسیب‌پذیری، وصله‌های امنیتی را در نسخه‌های زیر منتشر کرده‌اند:

• Samba 4.23.2

• Samba 4.22.5

• Samba 4.21.9

مدیران سیستم باید در اسرع وقت به یکی از نسخه‌های فوق ارتقا دهند یا وصله رسمی منتشرشده در صفحه امنیتی Samba را اعمال کنند.

 راهکارهای موقت و کاهش خطر (Mitigation Steps)

اگر به‌روزرسانی فوری ممکن نیست، دو روش اصلی برای کاهش خطر پیشنهاد می‌شود:

۱. حذف پارامتر خطرناک wins hook

در فایل پیکربندی smb.conf مقدار زیر را به‌صورت صریح تنظیم کنید:

این کار باعث می‌شود هیچ دستور یا اسکریپتی توسط سرویس WINS فراخوانی نشود، حتی اگر WINS فعال باشد.

۲. غیرفعال‌سازی WINS Support به‌صورت کامل

اگر نیاز به WINS ندارید، می‌توانید با افزودن خط زیر در پیکربندی، خطر را به‌طور کامل از بین ببرید:

این تنظیم باعث بازگشت Samba به حالت امن پیش‌فرض می‌شود.
(البته ممکن است برخی برنامه‌های قدیمی که به WINS متکی هستند دچار اختلال شوند.)

 توصیه‌های امنیتی برای مدیران شبکه

کارشناسان RootNet توصیه می‌کنند اقدامات زیر در تمامی محیط‌های دارای Samba اجرا شود:

1. بررسی تنظیمات فعلی Samba و اطمینان از عدم فعال بودن پارامتر wins hook.

2. غیرفعال کردن WINS در صورت عدم نیاز.

3. به‌روزرسانی تمامی کنترل‌کننده‌های دامنه به آخرین نسخه.

4. بررسی لاگ‌ها و مانیتورینگ درخواست‌های WINS غیرعادی در شبکه.

5. محدودسازی دسترسی‌های شبکه‌ای به پورت‌های Samba از طریق فایروال داخلی.

6. جایگزینی مکانیزم‌های قدیمی نام‌گذاری با DNS داخلی و LDAP مدرن.

7. پیاده‌سازی سیاست‌های Zero Trust در سطح شبکه برای محدودسازی دامنه نفوذ.

 تحلیل فنی RootNet

بررسی‌ها نشان می‌دهد که این آسیب‌پذیری نمونه‌ای از Command Injection کلاسیک است که به‌دلیل فقدان فیلتر ورودی در ماژول قدیمی Samba WINS ایجاد شده است.
با وجود آنکه ویژگی WINS در نسخه‌های جدید کمتر استفاده می‌شود، هنوز در بسیاری از شبکه‌های سازمانی فعال است تا با نرم‌افزارهای قدیمی ویندوزی سازگار باقی بماند.

به همین دلیل، این آسیب‌پذیری می‌تواند ده‌ها هزار سرور Active Directory مبتنی بر Samba را در سراسر جهان در معرض خطر قرار دهد.

کارشناسان امنیتی پیش‌بینی می‌کنند که در روزهای آینده، نمونه‌های واقعی سوءاستفاده (Proof-of-Concept Exploit) برای CVE-2025-10230 در مخازن عمومی منتشر شود.
بنابراین اعمال وصله‌ها باید فوراً انجام گیرد.

 نتیجه‌گیری

آسیب‌پذیری CVE-2025-10230 یکی از بحرانی‌ترین نقص‌های امنیتی سال جاری در حوزه سرورهای Samba است.
ترکیب سادگی در بهره‌برداری، عدم نیاز به احراز هویت و امکان اجرای کد با سطح دسترسی بالا، این نقص را به تهدیدی بسیار جدی برای زیرساخت‌های شبکه سازمانی تبدیل کرده است.

با اجرای سریع وصله‌های امنیتی، غیرفعال‌سازی ویژگی‌های قدیمی و بازبینی تنظیمات سیستم، می‌توان از وقوع حملات گسترده جلوگیری کرد و یکپارچگی زیرساخت دایرکتوری سازمان را حفظ نمود.