W jądrze Linuksa ponownie pojawiła się krytyczna, długotrwała luka w zabezpieczeniach. Luka ta, nazwana CIFSwitch, dotyczy kilku głównych dystrybucji. Przyznaje ona uprawnienia roota poprzez montowanie CIFS, kluczowy protokół do udostępniania plików w sieci.
To odkrycie przypomina, że nawet w dojrzałym systemie luki w zabezpieczeniach mogą pozostać uśpione przez długi czas. Stawka jest tym wyższa, że wpływa to na rdzeń operacji sieciowych w systemie Linux.
Ważne jest, aby zachować czujność, zrozumieć mechanizmy i podjąć działania naprawcze, aby uniknąć poważniejszych problemów.
Zrozumienie podatności CIFSwitch i jej wpływu na systemy Linux
CIFSwitch wykorzystuje 19-letnią lukę w zabezpieczeniach protokołu Common Internet File System (CIFS). Protokół ten jest kluczowy dla dostępu do plików współdzielonych w sieci lokalnej. W systemie Linux jądro zawiera klienta CIFS odpowiedzialnego za montowanie serwerów SMB i komunikację z nimi.
Główny problem wynika z interfejsu użytkownika udostępnianego przez pakiet cifs-utils. W przypadku montowań wymagających uwierzytelniania Kerberos, interfejs ten odpowiada za bezpieczeństwo, ale jądro Linuksa nie weryfikuje prawidłowo pochodzenia żądań. W rezultacie użytkownik bez uprawnień może manipulować kluczami uwierzytelniania, aby uzyskać uprawnienia roota.
W praktyce atak wykorzystuje funkcję request_key, która żąda klucza cifs.spnego, niezbędnego do uwierzytelnienia. Atakujący musi jedynie wstrzyknąć sfałszowany opis, aby ominąć mechanizmy kontroli.
Dystrybucje Linuksa najbardziej zagrożone w 2026 r.
Wiele popularnych dystrybucji musiało zareagować szybko. Ubuntu, Fedora, CentOS, Rocky Linux, AlmaLinux, openSUSE i SLES wydały poprawki w ciągu pierwszych kilku dni. Jednak ręczna instalacja lub obecność pakietu cifs-utils może zwiększyć ryzyko.
Oto niektóre dystrybucje, na które mogą mieć wpływ pewne warunki:
- Kali Linux (wersje 2021.4 do 2026.1)
- Linux Mint 21.3/22.3 Cinnamon
- SLES 15 SP7 i SAP 15 SP7 po aktywacji AppArmor
- Stacja robocza AlmaLinux 9.7 i obraz chmury Azure
- CentOS Stream 9 Gnome
- Stacja robocza Rocky Linux 9 z SELinux w trybie „wymuszania”
- SLES SAP 16 z SELinux w trybie permisywnym
Należy pamiętać, że niektóre dystrybucje, takie jak Amazon Linux 2 KVM i Kali Linux 2019.4/2020.4, nie są dotknięte tą zmianą.
Dlaczego ta podatność jest tak niebezpieczna, mimo że mamy ją już 19 lat?
Stare luki w kodzie, uśpione, są jak stare narzędzia zapomniane w stodole: wydają się nieszkodliwe, dopóki nie zostaną ponownie wydobyte. CIFSwitch ukrywał się w jądrze Linuksa od 2007 roku i nie został wykryty.
Asim Viladi Oglu Manizada, starszy inżynier bezpieczeństwa w SpaceX, wykazał, że problem wynika z rażącego braku weryfikacji jądra pod kątem pochodzenia żądań i kluczy cifs.spnego. Ten brak umożliwia załadowanie złośliwego modułu z uprawnieniami administracyjnymi.
Dokładniej rzecz ujmując, atakujący wykorzystuje fałszywe opisy kluczy, łącząc złośliwy PID z prywatną przestrzenią nazw, co zapewnia mu odpowiednie „miejsce” do wykonania kodu głównego.
Mechanizmy ataku w szczegółach
Atak opiera się na kilku narzędziach i konfiguracjach:
- Fałszywy plik konfiguracyjny NSS
- Złośliwy moduł NSS wstrzyknięty do przestrzeni nazw
- Wyzwalacz, który zmusza cifs.upcall do załadowania tej fałszywej biblioteki
Mechanizm ten powoduje zapisywanie wpisów w sudoers.d, co umożliwia praktycznie niekontrolowany dostęp do konta root.
Do weryfikacji tych warunków i testowania dostępnych poprawek służy Proof of Concept dostępny na GitHubie. Pozwala to zespołom Linux i administratorom systemów na proaktywną aktualizację swoich systemów.
Najlepsze praktyki radzenia sobie z luką w zabezpieczeniach CIFSwitch: czujność i poprawki
Zbagatelizowanie tej luki jest kluczowe. Nie wystarczy zakładać, że dystrybucja jest bezpieczna tylko dlatego, że zazwyczaj nie korzystasz z montowania CIFS. Pakiet cifs-utils, często instalowany domyślnie lub w określonych przypadkach, może pozostawić furtkę otwartą.
Aby się chronić, zapoznaj się z kilkoma praktycznymi wskazówkami:
- Utrzymuj swój system na bieżąco, stosując najnowsze poprawki jądra i narzędzia CISF
- Sprawdź obecność pakietu cifs-utils i zweryfikuj jego użycie
- Włącz narzędzia zabezpieczające, takie jak AppArmor lub SELinux, z odpowiednią konfiguracją
- Monitoruj aktywność sieciową i dzienniki systemowe, aby wykryć wszelkie nietypowe działania
- Ogranicz dostęp dla użytkowników nieposiadających uprawnień i izoluj wrażliwe środowiska
Pamiętając o zasadzie: „lepiej zapobiegać niż leczyć”, te proste działania pozwolą uniknąć wielu kłopotów.
Zasoby i informacje umożliwiające dalsze zgłębianie tematu
Dla tych, którzy chcą zgłębić temat, kilka wiarygodnych źródeł szczegółowo opisuje lukę w zabezpieczeniach i jej konsekwencje:
- Analiza techniczna CIFSwitch na itsense.fr
- CISA ostrzega przed krytyczną luką w zabezpieczeniach systemu Linux
- Działania łagodzące i aktualizacja CloudLinux
Zasoby te przyczyniają się do lepszego zrozumienia wyzwań i sposobów obrony w zakresie bezpieczeństwa systemu Linux, a jednocześnie rozpowszechniają cenną wiedzę.
Czym jest CIFSwitch?
Od 2007 r. w jądrze Linuxa występuje poważna luka w zabezpieczeniach, związana z protokołem CIFS i pakietem cifs-utils. Luka ta umożliwia podniesienie uprawnień do poziomu roota.
Które systemy są zagrożone?
Problem dotyczy dużych dystrybucji, takich jak Ubuntu, Fedora, CentOS, Rocky Linux, Kali Linux, Linux Mint i SLES, zwłaszcza jeśli zainstalowany i używany jest pakiet cifs-utils.
Jak się chronić?
Stosuj oficjalne aktualizacje, ograniczaj użycie cifs-utils, monitoruj dostęp i aktywuj SELinux lub AppArmor z zachowaniem czujności.
Czy użytkownik zdalny może być narażony na atak?
Nie, ta luka umożliwia lokalną eskalację uprawnień, więc atakujący musi mieć już nieuprawniony dostęp do systemu.
Czy istnieje publiczny sposób wykorzystania luki?
Tak, w serwisie GitHub opublikowano dowód koncepcji, który jest przydatny przy testowaniu poprawek i demonstrowaniu luk w zabezpieczeniach.
Źródło: www.lemondeinformatique.fr