Faille CIFSwitch : Plusieurs distributions Linux exposées selon Le Monde Informatique

Faille critique détectée, patch encore absent sur certaines machines !

Je reviens sur CIFSwitch, ce bug vieux de 19 ans qui donne accès root en une commande.

Sans correction rapide, l’exposition ouvre un boulevard aux scripts kiddies comme aux groupes APT.

Faille CIFSwitch : élévation instantanée de privilèges sur Linux

Tout part d’une mauvaise gestion du protocole CIFS dans le noyau Linux et d’un helper cifs.upcall trop confiant : l’attaquant forge une clé cifs.spnego, le noyau la gobe, et l’assistant s’exécute en root dans le mauvais espace de noms.

Résultat : écriture dans sudoers.d, ouverture d’un shell root, puis installation d’un backdoor persistant, le tout localement mais sans aucun privilège initial.

Distributions touchées et ampleur de l’exposition

Selon Le Monde Informatique, les correctifs sont sortis début mai, pourtant plusieurs grandes distributions restent vulnérables si le paquet cifs-utils a été ajouté à la main : Rocky 9, Alma 9, CentOS Stream 9, SLES 15 SP7, Kali 2026.1 et même Linux Mint 22.3 quand SELinux ou AppArmor sont mal réglés.

Ubuntu, Fedora ou Oracle Linux bloquent le chemin par défaut, mais une simple option malheureuse remet le système en danger ; seule Amazon Linux 2 en KVM échappe totalement au problème.

Mécanisme d’attaque : une simple clé pour tout ouvrir

Je détaille : le noyau appelle request_key pour obtenir un ticket Kerberos, ne vérifie ni l’origine ni la description, et accepte donc une valeur forgée contenant PID et upcall_target=app.

cifs.upcall, lancé en root par keyutils, atterrit alors dans le namespace contrôlé par l’assaillant, charge une fausse lib NSS, et exécute du code arbitraire : la vulnérabilité vire au festival de privilèges.

Des patchs disponibles mais lents à diffuser

Le correctif a été poussé le 22 avril, un PoC public est sorti le 29, et depuis les mainteneurs compilent à tour de bras ; pourtant, la chaîne CI de certaines distros met encore des jours à publier un kernel signé ou un paquet cifs-utils mis à jour.

En 2026 on s’attendait à mieux, mais la réalité montre qu’une gestion de dépendances trop complexe retarde la sécurité, surtout sur les images cloud figées pour la conformité.

Actions immédiates pour une protection solide

Je conseille d’abord un grep rapide : si cifs-utils traîne dans votre système, mettez-le à jour ou désinstallez-le quand il n’est pas indispensable.

Ensuite appliquez les noyaux corrigés, forcez SELinux en mode enforcing, désactivez les montages CIFS non signés, et surveillez vos journaux request-key : ces gestes simples bloquent la prochaine cyberattaque opportuniste et renforcent durablement votre protection.

Dernier mot : ne laissez pas un bug de 2007 planter votre infra moderne, patchez avant le week-end !

Source: www.lemondeinformatique.fr