Devatenáct let stará zranitelnost v linuxovém jádře, známá jako CIFSwitch, umožňuje útočníkům získat root přístup zneužitím chyby v protokolu CIFS. Toto zjištění vyžaduje okamžitou ostražitost ze strany systémových administrátorů a uživatelů Linuxu.
V sázce je hodně: lokální útočník bez oprávnění by mohl potenciálně získat úplnou kontrolu nad počítačem. Podívejme se, jak tato zranitelnost funguje a které distribuce jsou postiženy.
Pochopení zranitelnosti CIFSwitch v linuxovém jádře
CIFSwitch využívá chybu v rozhraní mezi linuxovým jádrem a balíčkem cifs-utils, který spravuje síťové sdílení CIFS/SMB. Tento protokol je nezbytný pro přístup k souborům na vzdálených serverech.
Jádro problému spočívá v ověřování Kerberos, které je nutné k připojení těchto sdílených složek. Jádro deleguje tento úkol na pomocníka uživatele, cifs.upcall, který běží s oprávněními root.
Tento pomocník pak bez jakéhokoli dohledu důvěřuje přijatým požadavkům. Uživatel se zlými úmysly může tyto požadavky manipulovat a vložit škodlivý kód, aby jej spustil se zvýšenými oprávněními. Toto je vektor útoku.
Technické zákulisí operace
Zranitelnost pramení z nedostatku kontroly nad původem klíče. cifs.spnego požadováno jádrem. Obvykle je tento požadavek legitimní a vydává jej klient CIFS jádra. V tomto případě jej lze zfalšovat.
Jednoduchý Python skript, dostupný jako demo, umožňuje standardnímu uživateli přepsat soubor sudoers a umožnit téměř okamžitý root přístup. Je efektivní a spolehlivý.
Použitím analogie s otevřenou závorou na železniční trati stačí místním hackerům do systému vsunout experimentální vagón, aniž by byl filtrován.
Dotčené linuxové distribuce a provozní podmínky
Na rozdíl od univerzálnějších zranitelností se CIFSwitch nespouští výhradně na základě verze linuxového jádra. Je naprosto nezbytné, aby cifs-utils musí být nainstalován ve verzi 6.14 nebo vyšší..
Dalším předpokladem je schopnost uživatele vytvářet a připojovat jmenné prostory, což je funkce někdy omezená bezpečnostními zásadami, jako je SELinux nebo AppArmor.
Ve výchozím nastavení zůstává zranitelným několik systémů, včetně Linux Mint 21.3, CentOS Stream 9, Kali Linux (v letech 2021 až 2026) a AlmaLinux 9.7.
Silnější rozdělení, ale s podmínkami
Nedávné verze Ubuntu (26.04), Fedory mezi verzemi 40 a 44 nebo Rocky Linuxu 10 těží z ochrany SELinux/AppArmor, která tuto zranitelnost neutralizuje.
Varování: Zakázání těchto bezpečnostních zásad je jako znovuotevření okna pro útok. Neinformovaný administrátor by se pak mohl nevědomky ocitnout v napadeném systému.
Proto by se při posuzování rizik neměla podceňovat celková konfigurace systému.
Jak se efektivně chránit před CIFSwitchem?
Oprava zavedená v květnu 2026 v linuxovém jádře problém řeší kontrolou původu požadavků na klíče. Hlavní otázkou tedy je, zda vaše distribuce tuto opravu integrovala.
Pokud tomu tak není, je možné přijmout několik zmírňujících opatření. Odstraňte obal. cifs-utils je nejjednodušší, ale brání přístupu ke sdíleným síťovým složkám CIFS.
Alternativně je možné zakázat ověřování Kerberos/SPNEGO pomocí specifické konfigurace nebo zcela zakázat modul CIFS, pokud se nepoužívá.
V administraci Linuxu je to trochu jako promazat starý počítač před jeho otevřením: tyto záplaty chrání před chybami, které se tím, že tam jsou dlouho, stanou nebezpečnými.
Klíčem je neustále sledovat aktualizace, zejména ty, které opravují tak závažné zranitelnosti. Zdarma neznamená nedbalé; právě naopak.