Une vulnérabilité vieille de 19 ans dans le noyau Linux se nomme CIFSwitch. Elle offre la possibilité d’obtenir un accès root en exploitant une faille liée au protocole CIFS. Cette découverte impose une vigilance immédiate pour les administrateurs systèmes et les utilisateurs Linux.
L’enjeu est sérieux : un attaquant local sans privilèges peut potentiellement prendre le contrôle complet d’une machine. Voyons comment cette faille fonctionne et quelles sont les distributions touchées.
Comprendre la vulnérabilité CIFSwitch du noyau Linux
CIFSwitch exploite un dysfonctionnement au niveau de l’interface entre le noyau Linux et le paquet cifs-utils, qui gère les partages réseau CIFS/SMB. Ce protocole est essentiel pour accéder à des fichiers sur des serveurs distants.
Le cœur du problème se situe lors de l’authentification Kerberos nécessaire pour monter ces partages. Le noyau confie cette tâche à un helper utilisateur, cifs.upcall, qui s’exécute avec des droits root.
Ce helper fait alors confiance sans contrôle aux requêtes qu’il reçoit. Un utilisateur malveillant peut manipuler ces requêtes et injecter du code malicieux à exécuter avec des privilèges élevés. Voilà le vecteur d’attaque.
Les coulisses techniques de l’exploitation
La faille provient de l’absence de contrôle sur l’origine de la clé cifs.spnego demandée par le noyau. Normalement, cette requête est légitime et émise par le client CIFS du noyau. Ici, elle peut être usurpée.
Un script Python simple, disponible en démonstration, permet à un utilisateur standard de réécrire un fichier sudoers et d’activer un accès root quasi immédiat. C’est efficace et redoutable.
En prenant l’analogie d’une barrière laissée ouverte sur une voie ferrée, les hackers locaux n’ont plus qu’à glisser un wagon expérimental dans le système sans être filtrés.
Les distributions Linux concernées et les conditions d’exploitation
À la différence de failles plus universelles, CIFSwitch ne se déclenche pas juste en fonction de la version du noyau Linux. Il faut impérativement que cifs-utils soit installé en version 6.14 ou plus.
Un autre prérequis : la capacité de l’utilisateur à créer et monter des namespaces, une fonctionnalité parfois bridée par des politiques de sécurité comme SELinux ou AppArmor.
Par défaut, plusieurs systèmes restent vulnérables, notamment Linux Mint 21.3, CentOS Stream 9, Kali Linux entre 2021 et 2026, ou encore AlmaLinux 9.7.
Des distributions plus solides mais sous conditions
Ubuntu récentes (26.04), Fedora entre versions 40 et 44, ou Rocky Linux 10 bénéficient de protections SELinux/AppArmor qui neutralisent cette faille.
Attention, désactiver ces politiques de sécurité revient à rouvrir la fenêtre de tir. Un administrateur mal averti peut alors se retrouver avec un système piégé sans le savoir.
Il ne faut donc pas sous-estimer la configuration système globale lors de l’évaluation du risque.
Comment se prémunir efficacement contre CIFSwitch ?
Un patch introduit en mai 2026 dans le noyau Linux corrige le problème en vérifiant l’origine des requêtes clés. La question principale est donc de savoir si votre distribution a intégré ce correctif.
Quand ce n’est pas le cas, plusieurs mesures d’atténuation sont possibles. Supprimer le paquet cifs-utils est la plus simple, mais elle empêche d’accéder aux partages réseau CIFS.
Sinon, il est possible de désactiver l’authentification Kerberos/SPNEGO avec une configuration spécifique, ou carrément de désactiver le module CIFS s’il n’est pas utilisé.
Dans l’administration Linux, c’est un peu comme graisser une vieille machine avant de l’ouvrir : ces correctifs protègent contre des bugs qui, à force d’être là depuis des lustres, deviennent dangereux.
L’essentiel est d’avoir toujours un œil sur les mises à jour, surtout quand elles corrigent des vulnérabilités aussi sérieuses. Gratuites ne veut pas dire bâclées, au contraire.