В модуле ksmbd, который обеспечивает встроенную в ядро Linux реализацию SMB-сервера, обнаружена опасная уязвимость (CVE-2025-37899). Она позволяет злоумышленнику выполнить произвольный код на уровне ядра, отправив специально сформированные SMB-пакеты. Интересно, что проблема была выявлена не вручную, а с помощью ИИ-модели OpenAI o3 в ходе автоматизированного аудита безопасности.
Поскольку код модуля ksmbd слишком велик для полного анализа в рамках одного запроса, проверка проводилась поэтапно. ИИ исследовал реализацию отдельных SMB-команд, используя типовые запросы, и в итоге обнаружил use-after-free в обработчике команды logoff.
Суть уязвимости:
При завершении сеанса (logoff) освобождалась память, связанная с пользовательской структурой sess->user. Однако, если параллельно в другом соединении приходил запрос на установку нового сеанса (smb2_sess_setup), этот поток мог обратиться к уже освобождённой памяти, что приводило к уязвимости.
Проблема устранена в следующих версиях ядра: 6.15-rc5, 6.14.6, 6.12.28, 6.6.90, 6.1.138. Ветка 5.15, куда модуль ksmbd был первоначально добавлен, не затронута.
Исследование провёл Шон Хилан (Sean Heelan), создатель платформы Prodfiler для анализа производительности и безопасности кода. Он решил протестировать возможности современных ИИ-моделей в поиске уязвимостей и пришёл к выводу, что OpenAI o3 демонстрирует высокий уровень понимания кода.
Ключевые наблюдения:
-
Модель смогла выстроить логическую цепочку, учитывающую параллельные подключения и использование общих структур данных.
-
Она не просто указала на потенциально опасный код, но и исключила ложные срабатывания, сосредоточившись на реальной угрозе.
-
Перед поиском новых уязвимостей Шон проверил модель на известной уязвимости (CVE-2025-37778), и o3 успешно её обнаружила, показав результаты, близкие к ручному аудиту.
Этот случай демонстрирует растущую роль ИИ в кибербезопасности. Хотя автоматизированные системы пока не заменяют экспертов, они уже способны находить сложные уязвимости, экономя время исследователей. В будущем подобные технологии могут стать стандартным инструментом аудита безопасности.
