Uma vulnerabilidade de 19 anos no kernel do Linux, conhecida como CIFSwitch, permite que atacantes obtenham acesso root explorando uma falha no protocolo CIFS. Essa descoberta exige vigilância imediata por parte de administradores de sistemas e usuários de Linux.
O risco é alto: um atacante local sem privilégios poderia potencialmente assumir o controle total de uma máquina. Vamos ver como essa vulnerabilidade funciona e quais distribuições são afetadas.
Entendendo a vulnerabilidade CIFSwitch no kernel do Linux
O CIFSwitch explora uma falha na interface entre o kernel do Linux e o pacote cifs-utils, que gerencia compartilhamentos de rede CIFS/SMB. Esse protocolo é essencial para acessar arquivos em servidores remotos.
O cerne do problema reside na autenticação Kerberos necessária para montar esses compartilhamentos. O kernel delega essa tarefa a um auxiliar de usuário, cifs.upcall, que é executado com privilégios de root.
Esse auxiliar confia nas solicitações que recebe sem qualquer supervisão. Um usuário malicioso pode manipular essas solicitações e injetar código malicioso para ser executado com privilégios elevados. Esse é o vetor de ataque.
Os detalhes técnicos por trás da operação.
A vulnerabilidade decorre da falta de controle sobre a origem da chave. cifs.spnego Solicitado pelo kernel. Normalmente, essa solicitação é legítima e emitida pelo cliente CIFS do kernel. Aqui, ela pode ser falsificada.
Um script simples em Python, disponível como demonstração, permite que um usuário comum reescreva um arquivo sudoers e habilite acesso root quase instantâneo. É eficiente e poderoso.
Usando a analogia de uma barreira deixada aberta nos trilhos de uma ferrovia, os hackers locais só precisam inserir um vagão experimental no sistema sem serem filtrados.
As distribuições Linux em questão e as condições de funcionamento.
Ao contrário de vulnerabilidades mais universais, a CIFSwitch não é acionada exclusivamente com base na versão do kernel Linux. É absolutamente essencial que O pacote cifs-utils deve estar instalado na versão 6.14 ou superior..
Outro pré-requisito: a capacidade do usuário de criar e montar namespaces, um recurso que às vezes é restringido por políticas de segurança como SELinux ou AppArmor.
Por padrão, vários sistemas permanecem vulneráveis, incluindo Linux Mint 21.3, CentOS Stream 9, Kali Linux entre 2021 e 2026 e AlmaLinux 9.7.
Distribuições mais fortes, mas com condições.
As versões recentes do Ubuntu (26.04), do Fedora entre as versões 40 e 44, ou do Rocky Linux 10 contam com proteções SELinux/AppArmor que neutralizam essa vulnerabilidade.
Atenção: desativar essas políticas de segurança é como reabrir a janela de ataque. Um administrador desinformado pode, sem saber, se deparar com um sistema comprometido.
Portanto, a configuração geral do sistema não deve ser subestimada na avaliação de riscos.
Como se proteger eficazmente contra o CIFSwitch?
Uma correção introduzida em maio de 2026 no kernel do Linux resolve o problema verificando a origem das solicitações de chave. A principal questão, portanto, é se a sua distribuição já integrou essa correção.
Quando isso não ocorre, várias medidas de mitigação são possíveis. Remova o pacote. cifs-utils É a opção mais simples, mas impede o acesso a compartilhamentos de rede CIFS.
Alternativamente, é possível desativar a autenticação Kerberos/SPNEGO com uma configuração específica ou desativar completamente o módulo CIFS, caso não esteja em uso.
Na administração de Linux, é um pouco como lubrificar uma máquina antiga antes de abri-la: esses patches protegem contra bugs que, por estarem presentes há muito tempo, se tornam perigosos.
O segredo é sempre ficar de olho nas atualizações, principalmente quando elas corrigem vulnerabilidades tão graves. Gratuito não significa descuidado; muito pelo contrário.