CIFSwitchの脆弱性：Le Monde Informatiqueによると、複数のLinuxディストリビューションが脆弱性にさらされている。

リフト 重大な問題が検出されました。一部のマシンではまだパッチが適用されていません！

戻ってきました CIFスイッチこれは、1つのコマンドでルートアクセスを許可してしまう19年前のバグです。

迅速な修正がなければ、暴露 これは、スクリプトキディやAPTグループにとって、新たな可能性の世界を切り開くものだ。

CIFSwitchの脆弱性：Linux上で即座に権限昇格が可能

全てはカーネルにおけるCIFSプロトコルの扱いの悪さに起因している。 Linux そして過信したcifs.upcallヘルパー：攻撃者は鍵を偽造する cifs.spnegoカーネルがそれを無視し、アシスタントは誤った名前空間でroot権限で実行される。

結果: 書き込み sudoers.dルートシェルを開き、永続的なバックドアをインストールする。これらはすべてローカルで行われるが、初期権限は一切ない。

影響を受ける分布と曝露の程度

によると コンピューターの世界パッチは5月上旬にリリースされたが、いくつかの主要な 分布 cifs-utils パッケージが手動で追加されている場合、脆弱性が残ります。Rocky 9、Alma 9、CentOS Stream 9、SLES 15 SP7、Kali 2026.1、さらには SELinux または AppArmor の設定が間違っている場合の Linux Mint 22.3 でも脆弱性が残ります。

Ubuntu、Fedora、Oracle Linuxはデフォルトパスをブロックしますが、たった1つの不適切なオプションによってシステムが再び危険な状態に陥ります。この問題を完全に回避できるのは、KVM上のAmazon Linux 2だけです。

攻撃メカニズム：すべてを開けるシンプルな鍵

説明させてください:カーネル呼び出し リクエストキー Kerberos チケットを取得するには、発信元や説明を検証しないため、PID と アップコールターゲット=アプリ。

cifs.upcall は、root として起動されました。 keyutilsすると、攻撃者が制御する名前空間に着陸し、偽のNSSライブラリをロードして、任意のコードを実行します。 脆弱性 特権の祭典へと変貌する。

パッチは入手可能だが、配布が遅い。

パッチは4月22日にプッシュされ、29日には公開PoCがリリースされました。それ以来、メンテナーはフルスピードでコンパイル作業を進めていますが、一部のディストリビューションのCIチェーンでは、署名付きカーネルや更新されたcifs-utilsパッケージの公開に数日かかる場合があります。

2026年にはもっと良い結果を期待していたが、現実には過度に複雑な依存関係管理が遅延を引き起こしている。 安全特に、コンプライアンス遵守のために凍結されたクラウドイメージの場合。

強力な保護のための即時行動

まずお勧めします grep 早い：もし cifs-utils システムに残っている場合は、アップデートするか、必要でない場合はアンインストールしてください。

次に、修正済みのカーネルを適用し、SELinuxを強制的にモードにします。 強制する署名されていないCIFSマウントを無効にし、ログを監視してください。 リクエストキー これらの単純な行動は、次の サイバー攻撃 機会を捉え、持続的に強化する 保護。

最後に一言：2007年のバグで最新のインフラがダウンしないように、週末前にパッチを適用しましょう！

ソース： www.lemondeinformatique.fr