Quu2019est-ce que CIFSwitch ?

Une faille su00e9rieuse pru00e9sente depuis 2007 dans le noyau Linux, liu00e9e au protocole CIFS et au paquet cifs-utils, qui permet du2019u00e9lever ses privilu00e8ges au niveau root.

Quels systu00e8mes sont concernu00e9s ?

Les grandes distributions comme Ubuntu, Fedora, CentOS, Rocky Linux, Kali Linux, Linux Mint et SLES sont touchu00e9es, surtout si le paquet cifs-utils est installu00e9 et utilisu00e9.

Comment se protu00e9ger ?

Appliquer les mises u00e0 jour officielles, limiter lu2019usage de cifs-utils, surveiller les accu00e8s et activer SELinux ou AppArmor avec vigilance.

Un utilisateur distant peut-il u00eatre impactu00e9 ?

Non, cette faille permet une u00e9lu00e9vation locale des privilu00e8ges, donc lu2019attaquant doit du00e9ju00e0 avoir un accu00e8s non privilu00e9giu00e9 au systu00e8me.

Un exploit public est-il disponible ?

Oui, un Proof of Concept est publiu00e9 sur GitHub, utile pour tester les correctifs et du00e9montrer la vulnu00e9rabilitu00e9.

CIFSwitch: un nuevo riesgo de seguridad que afecta a muchas distribuciones de Linux

Una vulnerabilidad crítica y de larga data ha resurgido en el kernel de Linux. Conocida como CIFSwitch, esta vulnerabilidad afecta a varias distribuciones importantes. Otorga acceso de superusuario a través del montaje CIFS, un protocolo crucial para compartir archivos en red.

Este descubrimiento nos recuerda que, incluso en un sistema maduro, las vulnerabilidades pueden permanecer latentes durante mucho tiempo. Lo que está en juego es aún mayor, ya que afecta al núcleo de las operaciones de red en Linux.

Es importante mantenerse alerta, comprender los mecanismos y seguir las medidas correctivas para evitar problemas mayores.

Comprender la vulnerabilidad CIFSwitch y su impacto en los sistemas Linux.

CIFSwitch explota una vulnerabilidad de hace 19 años en el manejo del protocolo CIFS (Sistema Común de Archivos de Internet). Este protocolo es fundamental para acceder a archivos compartidos en una red local. En Linux, el kernel incluye un cliente CIFS responsable de montar y comunicarse con servidores SMB.

El problema principal radica en la interfaz de usuario que proporciona el paquete cifs-utils. Para los puntos de montaje que requieren autenticación Kerberos, esta interfaz gestiona la seguridad, pero el kernel de Linux no verifica correctamente el origen de las solicitudes. Como resultado, un usuario sin privilegios puede manipular las claves de autenticación para obtener privilegios de administrador.

En la práctica, el ataque utiliza la función request_key, que solicita una clave cifs.spnego, esencial para la autenticación. Un atacante solo necesita inyectar una descripción falsificada para eludir los controles.

Distribuciones de Linux con mayor riesgo en 2026

Muchas distribuciones populares tuvieron que reaccionar rápidamente. Ubuntu, Fedora, CentOS, Rocky Linux, AlmaLinux, openSUSE y SLES publicaron parches en los primeros días. Sin embargo, la instalación manual o la presencia del paquete cifs-utils pueden generar riesgos.

Aquí se muestran algunas distribuciones que se ven afectadas bajo ciertas condiciones:

Kali Linux (versiones 2021.4 a 2026.1)
Linux Mint 21.3/22.3 Cinnamon
SLES 15 SP7 y SAP 15 SP7 al activar AppArmor
Imagen de AlmaLinux 9.7 para estación de trabajo y nube Azure
CentOS Stream 9 Gnome
Estación de trabajo Rocky Linux 9 con SELinux en modo «enforcing»
SAP 16 con SELinux en modo permisivo

Tenga en cuenta que algunas distribuciones, como Amazon Linux 2 KVM o Kali Linux 2019.4/2020.4, no se ven afectadas.

¿Por qué esta vulnerabilidad es tan peligrosa a pesar de tener 19 años?

Las vulnerabilidades antiguas que permanecen latentes en el código son como esas herramientas viejas olvidadas en un granero: parecen inofensivas hasta que un día se vuelven a usar. CIFSwitch había estado presente en el kernel de Linux desde 2007 sin ser detectado.

Asim Viladi Oglu Manizada, ingeniero sénior de seguridad en SpaceX, demostró que el problema radica en una grave falta de verificación del kernel con respecto al origen de las solicitudes y las claves cifs.spnego. Esta deficiencia permite la carga de un módulo malicioso con privilegios administrativos.

Más concretamente, el atacante explota las descripciones de claves falsas combinando un PID malicioso con un espacio de nombres privado, colocándolos en el «espacio» adecuado para ejecutar código de administrador.

Los mecanismos de ataque en detalle

El ataque se basa en varias herramientas y configuraciones:

Un archivo de configuración NSS falso
Un módulo NSS malicioso inyectado en el espacio de nombres
Un disparador que obliga a cifs.upcall a cargar esta biblioteca falsa.

Este mecanismo da como resultado que se escriban entradas en sudoers.d, lo que otorga un acceso prácticamente ilimitado a una cuenta de root.

Se utiliza una prueba de concepto disponible en GitHub para validar estas condiciones y probar los parches disponibles. Esto permite a los equipos de Linux y a los administradores de sistemas actualizar sus sistemas de forma proactiva.

Buenas prácticas para abordar la vulnerabilidad CIFSwitch: vigilancia y parches.

Es fundamental subestimar esta vulnerabilidad. No basta con suponer que tu distribución es segura simplemente porque no sueles usar el montaje CIFS. El paquete cifs-utils, que a menudo se instala por defecto o para necesidades específicas, puede dejar la puerta abierta.

Para protegerte, aquí tienes algunos consejos prácticos:

Mantén tu sistema actualizado con los últimos parches del kernel y las utilidades CISF.
Audite la presencia del paquete cifs-utils y verifique su uso.
Habilite herramientas de seguridad como AppArmor o SELinux con las configuraciones adecuadas.
Supervise la actividad de la red y los registros del sistema para detectar cualquier actividad anormal.
Limitar el acceso a usuarios no privilegiados y aislar entornos sensibles.

Recordando el refrán: «más vale prevenir que curar», estas sencillas acciones ya evitan muchos problemas.

Recursos e información para profundizar en el tema

Para quienes deseen profundizar en el tema, varias fuentes confiables detallan la vulnerabilidad y sus implicaciones:

Estos recursos contribuyen a una mejor comprensión de los desafíos y las medidas de seguridad en Linux, al tiempo que difunden conocimientos valiosos.

¿Qué es CIFSwitch?

Desde 2007 existe una grave vulnerabilidad en el kernel de Linux, vinculada al protocolo CIFS y al paquete cifs-utils, que permite la escalada de privilegios al nivel de root.

¿Qué sistemas se ven afectados?

Las distribuciones de gran tamaño como Ubuntu, Fedora, CentOS, Rocky Linux, Kali Linux, Linux Mint y SLES se ven afectadas, especialmente si el paquete cifs-utils está instalado y se utiliza.

¿Cómo protegerse?

Aplique las actualizaciones oficiales, limite el uso de cifs-utils, supervise el acceso y active SELinux o AppArmor con precaución.

¿Puede verse afectado un usuario remoto?

No, esta vulnerabilidad permite la escalada de privilegios local, por lo que el atacante debe tener acceso no privilegiado al sistema.

¿Existe alguna vulnerabilidad pública disponible?

Sí, se ha publicado una prueba de concepto en GitHub, útil para probar parches y demostrar la vulnerabilidad.

Fuente: www.lemondeinformatique.fr