CIFSwitch-Schwachstelle: Mehrere Linux-Distributionen betroffen, berichtet Le Monde Informatique

Riss Kritischer Fehler festgestellt, Patch fehlt auf einigen Rechnern noch!

Ich komme zurück CIFSwitch, dieser 19 Jahre alte Fehler, der mit einem einzigen Befehl Root-Zugriff ermöglicht.

Ohne eine rasche Korrektur,Belichtung eröffnet sowohl Scriptkiddies als auch APT-Gruppen eine Welt voller Möglichkeiten.

CIFSwitch-Schwachstelle: Sofortige Rechteausweitung unter Linux

Das alles rührt von einer mangelhaften Behandlung des CIFS-Protokolls im Kernel her. Linux und ein überheblicher cifs.upcall-Helfer: Der Angreifer fälscht einen Schlüssel cifs.spnegoDer Kernel verschluckt es, und der Assistent wird als Root im falschen Namensraum ausgeführt.

Ergebnis: Schreiben in sudoers.d, indem eine Root-Shell geöffnet und anschließend eine persistente Hintertür installiert wird, alles lokal, aber ohne anfängliche Berechtigungen.

Betroffene Verteilungen und Ausmaß der Exposition

Entsprechend Die ComputerweltDie Patches wurden Anfang Mai veröffentlicht, dennoch gibt es noch einige größere Probleme. Verteilungen bleiben angreifbar, wenn das cifs-utils-Paket manuell hinzugefügt wurde: Rocky 9, Alma 9, CentOS Stream 9, SLES 15 SP7, Kali 2026.1 und sogar Linux Mint 22.3, wenn SELinux oder AppArmor falsch konfiguriert sind.

Ubuntu, Fedora oder Oracle Linux blockieren den Standardpfad, aber eine einzige unglückliche Option bringt das System wieder in Gefahr; nur Amazon Linux 2 in KVM entgeht dem Problem vollständig.

Angriffsmechanismus: Ein einfacher Schlüssel, um alles zu öffnen

Ich erkläre es Ihnen: die Kernel-Aufrufe request_key Um ein Kerberos-Ticket zu erhalten, werden weder Herkunft noch Beschreibung überprüft, daher wird ein gefälschter Wert akzeptiert, der PID und upcall_target=app.

cifs.upcall, gestartet als Root von Schlüsselutilslandet dann im vom Angreifer kontrollierten Namensraum, lädt eine gefälschte NSS-Bibliothek und führt beliebigen Code aus: die Verletzlichkeit verwandelt sich in ein Fest der Privilegien.

Patches sind zwar verfügbar, werden aber nur langsam verteilt.

Der Patch wurde am 22. April veröffentlicht, ein öffentlicher Proof of Concept am 29., und seitdem kompilieren die Maintainer mit Hochdruck; allerdings dauert es bei einigen Distributionen immer noch Tage, bis die CI-Kette einen signierten Kernel oder ein aktualisiertes cifs-utils-Paket veröffentlicht.

Für 2026 hatten wir Besseres erwartet, doch die Realität zeigt, dass ein übermäßig komplexes Abhängigkeitsmanagement die Entwicklung verzögert. Sicherheitinsbesondere bei eingefrorenen Wolkenbildern zur Einhaltung der Vorschriften.

Sofortige Maßnahmen für einen robusten Schutz

Ich empfehle zunächst a grep schnell: wenn cifs-utils Falls es noch auf Ihrem System vorhanden ist, aktualisieren Sie es oder deinstallieren Sie es, sobald es nicht mehr benötigt wird.

Als nächstes werden die korrigierten Kernel angewendet und SELinux in den Modus gezwungen. durchsetzenDeaktivieren Sie unsignierte CIFS-Mounts und überwachen Sie Ihre Protokolle. Anforderungsschlüssel Diese einfachen Maßnahmen verhindern das nächste Cyberangriff opportunistisch und nachhaltig stärken Sie Ihre Schutz.

Zum Schluss noch ein Wort: Lassen Sie nicht zu, dass ein Fehler aus dem Jahr 2007 Ihre moderne Infrastruktur lahmlegt – beheben Sie ihn noch vor dem Wochenende!

Quelle: www.lemondeinformatique.fr