Luka w zabezpieczeniach CIFSwitch: według Le Monde Informatique ujawniono kilka dystrybucji Linuksa

Strzelanina Wykryto poważny problem, na niektórych komputerach nadal brakuje poprawki!

wracam do Przełącznik CIFS, ten 19-letni błąd umożliwia uzyskanie dostępu do konta root za pomocą jednego polecenia.

Bez szybkiej korekty,narażenie otwiera świat możliwości zarówno dla „script kiddies”, jak i grup APT.

Luka w zabezpieczeniach CIFSwitch: natychmiastowe zwiększenie uprawnień w systemie Linux

Wszystko wynika z nieprawidłowego obsługi protokołu CIFS w jądrze. Linuksa i zbyt pewny siebie pomocnik cifs.upcall: atakujący fałszuje klucz cifs.spnegoJądro je łyka, a asystent działa jako root w niewłaściwej przestrzeni nazw.

Wynik: zapisanie w sudoers.d, otwierając powłokę roota, a następnie instalując trwałe tylne drzwi, wszystko lokalnie, ale bez żadnych początkowych uprawnień.

Dotknięte dystrybucje i zakres narażenia

Według Świat KomputerowyPoprawki zostały wydane na początku maja, ale kilka ważnych poprawek dystrybucje pozostają podatne na ataki, jeśli pakiet cifs-utils został dodany ręcznie: Rocky 9, Alma 9, CentOS Stream 9, SLES 15 SP7, Kali 2026.1, a nawet Linux Mint 22.3, gdy SELinux lub AppArmor są nieprawidłowo skonfigurowane.

Ubuntu, Fedora lub Oracle Linux blokują domyślną ścieżkę, ale jedna niefortunna opcja ponownie naraża system na niebezpieczeństwo; jedynie Amazon Linux 2 w KVM całkowicie unika tego problemu.

Mechanizm ataku: prosty klucz do otwarcia wszystkiego

Pozwól, że wyjaśnię: jądro wywołuje klucz_żądania Aby uzyskać bilet Kerberos, nie weryfikuje on pochodzenia ani opisu, dlatego akceptuje sfałszowaną wartość zawierającą PID i upcall_target=aplikacja.

cifs.upcall, uruchomiony jako root przez klucze, a następnie trafia do przestrzeni nazw kontrolowanej przez atakującego, ładuje fałszywą bibliotekę NSS i wykonuje dowolny kod: wrażliwość zamienia się w festiwal przywilejów.

Dostępne są poprawki, ale ich dystrybucja jest powolna

Poprawka została opublikowana 22 kwietnia, publiczny PoC opublikowano 29 kwietnia, a od tamtej pory osoby odpowiedzialne za utrzymanie oprogramowania kompilują je z pełną prędkością; jednak w przypadku niektórych dystrybucji łańcuch CI nadal potrzebuje kilku dni, aby opublikować podpisane jądro lub zaktualizowany pakiet cifs-utils.

W roku 2026 spodziewaliśmy się czegoś lepszego, ale rzeczywistość pokazuje, że zbyt skomplikowane zarządzanie zależnościami opóźnia bezpieczeństwo, zwłaszcza w przypadku obrazów zamarzniętych chmur w celu zapewnienia zgodności.

Natychmiastowe działanie na rzecz solidnej ochrony

Polecam najpierw A grep szybko: jeśli cifs-utils Jeśli plik nadal znajduje się w systemie, zaktualizuj go lub odinstaluj, jeśli nie jest już niezbędny.

Następnie zastosuj poprawione jądra i wymuś przejście SELinux w tryb. egzekwowanieWyłącz niepodpisane montowania CIFS i monitoruj swoje logi klucz żądania Te proste czynności blokują następne cyberatak oportunistyczny i trwale wzmacniać swój ochrona.

Ostatnie słowo: nie pozwól, aby błąd z 2007 r. zniszczył Twoją nowoczesną infrastrukturę, załataj go przed weekendem!

Źródło: www.lemondeinformatique.fr