Quu2019est-ce que CIFSwitch ?

Une faille su00e9rieuse pru00e9sente depuis 2007 dans le noyau Linux, liu00e9e au protocole CIFS et au paquet cifs-utils, qui permet du2019u00e9lever ses privilu00e8ges au niveau root.

Quels systu00e8mes sont concernu00e9s ?

Les grandes distributions comme Ubuntu, Fedora, CentOS, Rocky Linux, Kali Linux, Linux Mint et SLES sont touchu00e9es, surtout si le paquet cifs-utils est installu00e9 et utilisu00e9.

Comment se protu00e9ger ?

Appliquer les mises u00e0 jour officielles, limiter lu2019usage de cifs-utils, surveiller les accu00e8s et activer SELinux ou AppArmor avec vigilance.

Un utilisateur distant peut-il u00eatre impactu00e9 ?

Non, cette faille permet une u00e9lu00e9vation locale des privilu00e8ges, donc lu2019attaquant doit du00e9ju00e0 avoir un accu00e8s non privilu00e9giu00e9 au systu00e8me.

Un exploit public est-il disponible ?

Oui, un Proof of Concept est publiu00e9 sur GitHub, utile pour tester les correctifs et du00e9montrer la vulnu00e9rabilitu00e9.

CIFSwitch: un nuovo rischio per la sicurezza che colpisce molte distribuzioni Linux

Nel kernel Linux è riemersa una vulnerabilità critica e di vecchia data. Denominata CIFSwitch, questa vulnerabilità interessa diverse distribuzioni principali. Consente l’accesso come root tramite il mount CIFS, un protocollo fondamentale per la condivisione di file in rete.

Questa scoperta ci ricorda che, anche in un sistema maturo, le vulnerabilità possono rimanere latenti per lungo tempo. La posta in gioco è ancora più alta perché riguarda il cuore delle operazioni di rete in Linux.

È importante essere vigili, comprendere i meccanismi e seguire le misure correttive per evitare problemi gravi.

Comprendere la vulnerabilità di CIFSwitch e il suo impatto sui sistemi Linux

CIFSwitch sfrutta una vulnerabilità vecchia di 19 anni nella gestione del protocollo Common Internet File System (CIFS). Questo protocollo è fondamentale per accedere ai file condivisi su una rete locale. In Linux, il kernel include un client CIFS responsabile del montaggio e della comunicazione con i server SMB.

Il problema principale deriva dall’interfaccia utente fornita dal pacchetto cifs-utils. Per i mount che richiedono l’autenticazione Kerberos, questa interfaccia gestisce la sicurezza, ma il kernel Linux non verifica correttamente l’origine delle richieste. Di conseguenza, un utente non privilegiato può manipolare le chiavi di autenticazione per ottenere i privilegi di root.

In pratica, l’attacco sfrutta la funzione request_key, che richiede una chiave cifs.spnego, essenziale per l’autenticazione. Un malintenzionato deve semplicemente iniettare una descrizione falsificata per aggirare i controlli.

Le distribuzioni Linux più a rischio nel 2026

Molte distribuzioni popolari hanno dovuto reagire rapidamente. Ubuntu, Fedora, CentOS, Rocky Linux, AlmaLinux, openSUSE e SLES hanno rilasciato patch entro i primi giorni. Tuttavia, l’installazione manuale o la presenza del pacchetto cifs-utils possono rendere la situazione rischiosa.

Ecco alcune distribuzioni che vengono influenzate in determinate condizioni:

Kali Linux (versioni dalla 2021.4 alla 2026.1)
Linux Mint 21.3/22.3 Cinnamon
SLES 15 SP7 e SAP 15 SP7 durante l’attivazione di AppArmor
Immagine di AlmaLinux 9.7 Workstation e Azure Cloud.
CentOS Stream 9 Gnome
Rocky Linux 9 Workstation con SELinux in modalità “enforcing”
SLES SAP 16 con SELinux in modalità permissiva

Si noti che alcune distribuzioni, come Amazon Linux 2 KVM o Kali Linux 2019.4/2020.4, non sono interessate.

Perché questa vulnerabilità è così pericolosa nonostante abbia solo 19 anni?

Le vecchie vulnerabilità latenti nel codice sono come quegli attrezzi dimenticati in un fienile: sembrano innocue finché non vengono tirate fuori di nuovo. CIFSwitch era presente nel kernel Linux dal 2007 senza essere stata rilevata.

Asim Viladi Oglu Manizada, ingegnere senior della sicurezza presso SpaceX, ha dimostrato che il problema deriva da una palese mancanza di verifica a livello di kernel riguardo all’origine delle richieste e alle chiavi cifs.spnego. Questa carenza consente il caricamento di un modulo dannoso con privilegi amministrativi.

Più nello specifico, l’attaccante sfrutta false descrizioni di chiavi combinando un PID malevolo con un namespace privato, posizionandoli nella “stanza” corretta per eseguire codice root.

I meccanismi di attacco nel dettaglio

L’attacco si basa su diversi strumenti e configurazioni:

Un file di configurazione NSS falso
Un modulo NSS dannoso iniettato nello spazio dei nomi
Un trigger che forza cifs.upcall a caricare questa libreria fittizia

Questo meccanismo fa sì che vengano scritte delle voci nel file sudoers.d, garantendo un accesso praticamente illimitato all’account root.

Una Proof of Concept disponibile su GitHub viene utilizzata per convalidare queste condizioni e testare le patch disponibili. Ciò consente ai team Linux e agli amministratori di sistema di aggiornare i propri sistemi in modo proattivo.

Procedure ottimali per la gestione della vulnerabilità CIFSwitch: vigilanza e patch

Sottovalutare questa vulnerabilità è fondamentale. Non basta presumere che la propria distribuzione sia sicura solo perché di solito non si utilizza il montaggio CIFS. Il pacchetto cifs-utils, spesso installato di default o per esigenze specifiche, può lasciare la porta aperta.

Per proteggerti, ecco alcuni consigli pratici:

Mantieni il tuo sistema aggiornato con le patch del kernel e le utilità CISF più recenti.
Verificare la presenza del pacchetto cifs-utils e il suo utilizzo.
Abilita strumenti di sicurezza come AppArmor o SELinux con le configurazioni appropriate.
Monitorare l’attività di rete e i log di sistema per rilevare eventuali attività anomale.
Limitare l’accesso agli utenti non privilegiati e isolare gli ambienti sensibili.

Ricordando il detto “prevenire è meglio che curare”, queste semplici azioni evitano già molti problemi.

Risorse e informazioni per approfondire l’argomento

Per chi desidera approfondire l’argomento, diverse fonti affidabili descrivono in dettaglio la vulnerabilità e le sue implicazioni:

Queste risorse contribuiscono a una migliore comprensione delle sfide e delle difese nella sicurezza di Linux, diffondendo al contempo conoscenze preziose.

Cos’è CIFSwitch?

Dal 2007 è presente nel kernel Linux una grave vulnerabilità legata al protocollo CIFS e al pacchetto cifs-utils, che consente l’escalation dei privilegi fino al livello di root.

Quali sistemi sono interessati?

Le distribuzioni più diffuse, come Ubuntu, Fedora, CentOS, Rocky Linux, Kali Linux, Linux Mint e SLES, sono interessate, soprattutto se il pacchetto cifs-utils è installato e in uso.

Come proteggersi?

Applica gli aggiornamenti ufficiali, limita l’uso di cifs-utils, monitora gli accessi e attiva SELinux o AppArmor con attenzione.

Un utente remoto può essere interessato?

No, questa vulnerabilità consente un’escalation dei privilegi locali, quindi l’attaccante deve già avere accesso al sistema senza privilegi.

Esiste un exploit pubblico disponibile?

Sì, su GitHub è stata pubblicata una Proof of Concept, utile per testare le patch e dimostrare la vulnerabilità.

Fonte: www.lemondeinformatique.fr