Quu2019est-ce que CIFSwitch ?

Une faille su00e9rieuse pru00e9sente depuis 2007 dans le noyau Linux, liu00e9e au protocole CIFS et au paquet cifs-utils, qui permet du2019u00e9lever ses privilu00e8ges au niveau root.

Quels systu00e8mes sont concernu00e9s ?

Les grandes distributions comme Ubuntu, Fedora, CentOS, Rocky Linux, Kali Linux, Linux Mint et SLES sont touchu00e9es, surtout si le paquet cifs-utils est installu00e9 et utilisu00e9.

Comment se protu00e9ger ?

Appliquer les mises u00e0 jour officielles, limiter lu2019usage de cifs-utils, surveiller les accu00e8s et activer SELinux ou AppArmor avec vigilance.

Un utilisateur distant peut-il u00eatre impactu00e9 ?

Non, cette faille permet une u00e9lu00e9vation locale des privilu00e8ges, donc lu2019attaquant doit du00e9ju00e0 avoir un accu00e8s non privilu00e9giu00e9 au systu00e8me.

Un exploit public est-il disponible ?

Oui, un Proof of Concept est publiu00e9 sur GitHub, utile pour tester les correctifs et du00e9montrer la vulnu00e9rabilitu00e9.

CIFSwitch: Um novo risco de segurança que afeta muitas distribuições Linux

Uma vulnerabilidade crítica e antiga ressurgiu no kernel do Linux. Apelidada de CIFSwitch, essa vulnerabilidade afeta diversas distribuições importantes. Ela concede acesso root por meio da montagem CIFS, um protocolo crucial para o compartilhamento de arquivos em rede.

Essa descoberta serve como um lembrete de que, mesmo em um sistema maduro, vulnerabilidades podem permanecer latentes por muito tempo. Os riscos são ainda maiores porque afetam o núcleo das operações de rede no Linux.

É importante estar vigilante, compreender os mecanismos e seguir as medidas corretivas para evitar problemas maiores.

Entendendo a vulnerabilidade CIFSwitch e seu impacto em sistemas Linux

O CIFSwitch explora uma vulnerabilidade de 19 anos no tratamento do protocolo Common Internet File System (CIFS). Este protocolo é fundamental para o acesso a arquivos compartilhados em uma rede local. No Linux, o kernel inclui um cliente CIFS responsável por montar e se comunicar com servidores SMB.

O principal problema decorre da interface de usuário fornecida pelo pacote cifs-utils. Para montagens que exigem autenticação Kerberos, essa interface lida com a segurança, mas o kernel do Linux não verifica corretamente a origem das requisições. Como resultado, um usuário sem privilégios pode manipular as chaves de autenticação para obter privilégios de root.

Na prática, o ataque utiliza a função `request_key`, que solicita uma chave `cifs.spnego`, essencial para a autenticação. Um atacante precisa apenas injetar uma descrição falsificada para burlar os controles.

Distribuições Linux com maior risco em 2026

Muitas distribuições populares tiveram que reagir rapidamente. Ubuntu, Fedora, CentOS, Rocky Linux, AlmaLinux, openSUSE e SLES lançaram correções nos primeiros dias. No entanto, a instalação manual ou a presença do pacote cifs-utils podem tornar a situação arriscada.

Aqui estão algumas distribuições que são afetadas sob certas condições:

Kali Linux (versões 2021.4 a 2026.1)
Linux Mint 21.3/22.3 Cinnamon
SLES 15 SP7 e SAP 15 SP7 ao ativar o AppArmor
Imagem de estação de trabalho e nuvem Azure do AlmaLinux 9.7
CentOS Stream 9 Gnome
Estação de trabalho Rocky Linux 9 com SELinux em modo “enforcing”
SLES SAP 16 com SELinux em modo permissivo

Note que algumas distribuições, como Amazon Linux 2 KVM ou Kali Linux 2019.4/2020.4, não são afetadas.

Por que essa vulnerabilidade é tão perigosa, mesmo tendo apenas 19 anos?

Vulnerabilidades antigas, adormecidas no código, são como aquelas ferramentas velhas esquecidas em um celeiro: parecem inofensivas até o dia em que são resgatadas. O CIFSwitch estava oculto no kernel do Linux desde 2007 sem ser detectado.

Asim Viladi Oglu Manizada, engenheiro sênior de segurança da SpaceX, demonstrou que o problema decorre de uma flagrante falta de verificação do kernel em relação à origem das requisições e às chaves cifs.spnego. Essa deficiência permite o carregamento de um módulo malicioso com privilégios administrativos.

Mais especificamente, o atacante explora descrições de chaves falsas combinando um PID malicioso com um namespace privado, colocando-os na “sala” correta para executar código root.

Os mecanismos de ataque em detalhes

O ataque depende de diversas ferramentas e configurações:

Um arquivo de configuração NSS falso
Um módulo NSS malicioso foi injetado no namespace.
Um gatilho que força o cifs.upcall a carregar esta biblioteca falsa.

Esse mecanismo resulta na gravação de entradas no arquivo sudoers.d, concedendo acesso praticamente irrestrito a uma conta root.

Uma prova de conceito disponível no GitHub é usada para validar essas condições e testar os patches disponíveis. Isso permite que equipes Linux e administradores de sistemas atualizem seus sistemas de forma proativa.

Melhores práticas para lidar com a vulnerabilidade CIFSwitch: vigilância e correções.

Subestimar essa vulnerabilidade é crucial. Não basta presumir que sua distribuição é segura simplesmente porque você não costuma usar a montagem CIFS. O pacote cifs-utils, frequentemente instalado por padrão ou para necessidades específicas, pode deixar essa brecha.

Para se proteger, aqui estão algumas dicas práticas:

Mantenha seu sistema atualizado com os patches de kernel e utilitários CISF mais recentes.
Audite a presença do pacote cifs-utils e verifique seu uso.
Habilite ferramentas de segurança como AppArmor ou SELinux com as configurações apropriadas.
Monitore a atividade da rede e os registros do sistema para detectar qualquer atividade anormal.
Limitar o acesso a usuários sem privilégios e isolar ambientes sensíveis.

Ao lembrarmos o ditado “prevenir é melhor que remediar”, essas ações simples já evitam muitos problemas.

Recursos e informações para explorar o tema mais a fundo.

Para aqueles que desejam aprofundar o assunto, diversas fontes confiáveis detalham a vulnerabilidade e suas implicações:

Esses recursos contribuem para uma melhor compreensão dos desafios e das defesas na segurança do Linux, além de disseminar conhecimento valioso.

O que é CIFSwitch?

Uma vulnerabilidade grave está presente no kernel do Linux desde 2007, relacionada ao protocolo CIFS e ao pacote cifs-utils, que permite a elevação de privilégios ao nível de root.

Quais sistemas são afetados?

Grandes distribuições como Ubuntu, Fedora, CentOS, Rocky Linux, Kali Linux, Linux Mint e SLES são afetadas, especialmente se o pacote cifs-utils estiver instalado e em uso.

Como se proteger?

Aplique as atualizações oficiais, limite o uso do cifs-utils, monitore o acesso e ative o SELinux ou o AppArmor com vigilância.

Um usuário remoto pode ser afetado?

Não, essa vulnerabilidade permite a escalada de privilégios local, portanto o atacante já deve ter acesso não privilegiado ao sistema.

Existe algum exploit público disponível?

Sim, uma prova de conceito foi publicada no GitHub, útil para testar correções e demonstrar a vulnerabilidade.

Fonte: www.lemondeinformatique.fr