Una vulnerabilidad del kernel de Linux, conocida como CIFSwitch y que lleva 19 años de antigüedad, permite a los atacantes obtener acceso de administrador explotando un fallo en el protocolo CIFS. Este descubrimiento exige una vigilancia inmediata por parte de los administradores de sistemas y los usuarios de Linux.
Hay mucho en juego: un atacante local sin privilegios podría tomar el control total de una máquina. Veamos cómo funciona esta vulnerabilidad y qué distribuciones se ven afectadas.
Comprender la vulnerabilidad CIFSwitch en el kernel de Linux
CIFSwitch aprovecha una vulnerabilidad en la interfaz entre el kernel de Linux y el paquete cifs-utils, que gestiona los recursos compartidos de red CIFS/SMB. Este protocolo es esencial para acceder a archivos en servidores remotos.
El problema principal reside en la autenticación Kerberos necesaria para montar estos recursos compartidos. El kernel delega esta tarea a un programa auxiliar de usuario, cifs.upcall, que se ejecuta con privilegios de administrador.
Este programa auxiliar confía en las solicitudes que recibe sin ningún tipo de supervisión. Un usuario malintencionado puede manipular estas solicitudes e inyectar código malicioso para ejecutarlo con privilegios elevados. Este es el vector de ataque.
Los aspectos técnicos entre bastidores de la operación
La vulnerabilidad radica en la falta de control sobre el origen de la clave. cifs.spnego Solicitada por el núcleo. Normalmente, esta solicitud es legítima y la emite el cliente CIFS del núcleo. En este caso, puede ser falsificada.
Un sencillo script de Python, disponible como demostración, permite a un usuario estándar sobrescribir un archivo sudoers y habilitar el acceso de superusuario casi instantáneo. Es eficiente y formidable.
Utilizando la analogía de una barrera abierta en una vía férrea, los hackers locales solo necesitan introducir un vagón experimental en el sistema sin ser filtrado.
Las distribuciones de Linux en cuestión y las condiciones de funcionamiento
A diferencia de las vulnerabilidades más universales, CIFSwitch no se activa únicamente en función de la versión del kernel de Linux. Es absolutamente esencial que cifs-utils debe estar instalado en la versión 6.14 o superior..
Otro requisito previo: la capacidad del usuario para crear y montar espacios de nombres, una función que a veces está restringida por políticas de seguridad como SELinux o AppArmor.
Por defecto, varios sistemas siguen siendo vulnerables, entre ellos Linux Mint 21.3, CentOS Stream 9, Kali Linux entre 2021 y 2026, y AlmaLinux 9.7.
Distribuciones más fuertes, pero con condiciones
Las versiones recientes de Ubuntu (26.04), Fedora entre las versiones 40 y 44, o Rocky Linux 10 se benefician de las protecciones SELinux/AppArmor que neutralizan esta vulnerabilidad.
Advertencia: deshabilitar estas políticas de seguridad es como reabrir la ventana de ataque. Un administrador desinformado podría encontrarse, sin saberlo, con un sistema comprometido.
Por lo tanto, no se debe subestimar la configuración general del sistema al evaluar el riesgo.
¿Cómo protegerse eficazmente contra CIFSwitch?
Un parche introducido en mayo de 2026 en el kernel de Linux soluciona el problema comprobando el origen de las solicitudes de clave. Por lo tanto, la pregunta principal es si su distribución ha integrado esta solución.
Cuando esto no sucede, existen varias medidas de mitigación posibles. Retire el paquete. cifs-utils Es la opción más sencilla, pero impide el acceso a los recursos compartidos de la red CIFS.
Como alternativa, es posible deshabilitar la autenticación Kerberos/SPNEGO con una configuración específica, o deshabilitar completamente el módulo CIFS si no se utiliza.
En la administración de Linux, es un poco como engrasar una máquina vieja antes de abrirla: estos parches protegen contra errores que, por el mero hecho de haber estado presentes durante años, se vuelven peligrosos.
La clave está en estar siempre al tanto de las actualizaciones, especialmente cuando corrigen vulnerabilidades tan graves. Que sea gratis no significa que sea de mala calidad; todo lo contrario.