Een 19 jaar oud beveiligingslek in de Linux-kernel, bekend als CIFSwitch, stelt aanvallers in staat root-toegang te verkrijgen door misbruik te maken van een fout in het CIFS-protocol. Deze ontdekking vereist onmiddellijke alertheid van systeembeheerders en Linux-gebruikers.
De risico’s zijn groot: een lokale aanvaller zonder beheerdersrechten zou potentieel de volledige controle over een machine kunnen overnemen. Laten we eens kijken hoe deze kwetsbaarheid werkt en welke distributies erdoor worden getroffen.
Inzicht in de CIFSwitch-kwetsbaarheid in de Linux-kernel
CIFSwitch maakt gebruik van een kwetsbaarheid in de interface tussen de Linux-kernel en het cifs-utils-pakket, dat CIFS/SMB-netwerkshares beheert. Dit protocol is essentieel voor toegang tot bestanden op externe servers.
De kern van het probleem zit hem in de Kerberos-authenticatie die nodig is om deze gedeelde mappen te mounten. De kernel delegeert deze taak aan een gebruikershelper, cifs.upcall, die met root-rechten draait.
Deze helper vertrouwt vervolgens zonder enige controle op de ontvangen verzoeken. Een kwaadwillende gebruiker kan deze verzoeken manipuleren en schadelijke code injecteren om deze met verhoogde bevoegdheden uit te voeren. Dit is de aanvalsvector.
De technische achtergrond van de operatie
De kwetsbaarheid vloeit voort uit het gebrek aan controle over de herkomst van de sleutel. cifs.spnego Dit verzoek is afkomstig van de kernel. Normaal gesproken is dit verzoek legitiem en wordt het verzonden door de CIFS-client van de kernel. In dit geval kan het echter worden vervalst.
Een eenvoudig Python-script, beschikbaar als demo, stelt een standaardgebruiker in staat om een sudoers-bestand te herschrijven en vrijwel direct root-toegang te verkrijgen. Het is efficiënt en zeer krachtig.
Om de analogie te gebruiken van een openstaande slagboom op een spoorlijn: lokale hackers hoeven alleen maar een experimentele wagon ongemerkt in het systeem te plaatsen.
De betreffende Linux-distributies en de bedrijfsomstandigheden
In tegenstelling tot meer algemene kwetsbaarheden wordt CIFSwitch niet uitsluitend geactiveerd op basis van de Linux-kernelversie. Het is absoluut essentieel dat cifs-utils moet geïnstalleerd zijn in versie 6.14 of hoger..
Nog een vereiste: de gebruiker moet in staat zijn om namespaces te creëren en te mounten, een functie die soms wordt beperkt door beveiligingsbeleid zoals SELinux of AppArmor.
Standaard blijven verschillende systemen kwetsbaar, waaronder Linux Mint 21.3, CentOS Stream 9, Kali Linux tussen 2021 en 2026, en AlmaLinux 9.7.
Sterkere verdelingen, maar wel onder bepaalde voorwaarden.
Recente versies van Ubuntu (26.04), Fedora tussen versie 40 en 44, of Rocky Linux 10 profiteren van SELinux/AppArmor-beveiligingen die deze kwetsbaarheid neutraliseren.
Waarschuwing: het uitschakelen van deze beveiligingsmaatregelen is alsof u de aanvalsmogelijkheid opnieuw opent. Een onervaren beheerder kan dan ongemerkt een gecompromitteerd systeem tot zijn beschikking krijgen.
Daarom mag de algehele systeemconfiguratie niet worden onderschat bij het beoordelen van risico’s.
Hoe kunt u zich effectief beschermen tegen CIFSwitch?
Een patch die in mei 2026 in de Linux-kernel is geïntroduceerd, verhelpt het probleem door de herkomst van sleutelverzoeken te controleren. De belangrijkste vraag is daarom of uw distributie deze oplossing heeft geïntegreerd.
Als dit niet het geval is, zijn er verschillende oplossingen mogelijk. Verwijder het pakket. cifs-utils Dit is de eenvoudigste oplossing, maar het voorkomt toegang tot CIFS-netwerkshares.
Als alternatief is het mogelijk om Kerberos/SPNEGO-authenticatie uit te schakelen met een specifieke configuratie, of om de CIFS-module volledig uit te schakelen als deze niet wordt gebruikt.
In Linux-administratie is het een beetje zoals het smeren van een oude machine voordat je hem openmaakt: deze patches beschermen tegen bugs die, doordat ze er al jaren in zitten, gevaarlijk worden.
Het is cruciaal om updates altijd in de gaten te houden, vooral wanneer ze zulke ernstige beveiligingslekken dichten. Gratis betekent niet slordig; integendeel.