Уразливість CIFSwitch: За даними Le Monde Informatique, виявлено кілька дистрибутивів Linux

Розлом Виявлено критичну проблему, на деяких машинах патч все ще відсутній!

Я повертаюся до CIFSwitch, цей 19-річний баг, який надає root-доступ однією командою.

Без швидкого виправлення,контакт відкриває світ можливостей як для тих, хто любить скрипти, так і для груп APT.

Вразливість CIFSwitch: миттєве підвищення привілеїв у Linux

Все це пов’язано з поганою обробкою протоколу CIFS у ядрі. Linux і надмірно впевнений помічник cifs.upcall: зловмисник підробляє ключ cifs.spnegoЯдро проковтує його, і помічник працює від імені root у неправильному просторі імен.

Результат: запис sudoers.d, відкриття root-оболонки, а потім встановлення постійного бекдору, все локально, але без будь-яких початкових привілеїв.

Розподіл, на який поширюється вплив, та ступінь впливу

Відповідно до Комп’ютерний світПатчі були випущені на початку травня, проте кілька основних розподіли залишаються вразливими, якщо пакет cifs-utils було додано вручну: Rocky 9, Alma 9, CentOS Stream 9, SLES 15 SP7, Kali 2026.1 і навіть Linux Mint 22.3, коли SELinux або AppArmor неправильно налаштовані.

Ubuntu, Fedora або Oracle Linux блокують шлях за замовчуванням, але один невдалий варіант знову наражає систему на небезпеку; лише Amazon Linux 2 у KVM повністю уникає цієї проблеми.

Механізм атаки: простий ключ, щоб відкрити все

Дозвольте пояснити: ядро ​​викликає запит_ключ Щоб отримати квиток Kerberos, він не перевіряє походження чи опис, і тому приймає підроблене значення, що містить PID та upcall_target=додаток.

cifs.upcall, запущений від імені root користувачем keyutils, потім потрапляє в простір імен, контрольований зловмисником, завантажує фальшиву бібліотеку NSS та виконує довільний код: вразливість перетворюється на свято привілеїв.

Патчі доступні, але розповсюджуються повільно.

Патч було випущено 22 квітня, публічний PoC був випущений 29-го, і з того часу розробники компілюють оновлення на повній швидкості; однак, ланцюжок CI деяких дистрибутивів все ще потребує днів, щоб опублікувати підписане ядро ​​або оновлений пакет cifs-utils.

У 2026 році ми очікували кращого, але реальність показує, що надмірно складне управління залежностями затримує безпеки, особливо на заморожених хмарних зображеннях для дотримання вимог.

Негайні дії для надійного захисту

Я рекомендую спочатку a grep швидко: якщо cifs-utils Якщо він затримується у вашій системі, оновіть його або видаліть, коли він не є необхідним.

Далі застосуйте виправлені ядра та примусово переведіть SELinux у режим . виконанняВимкніть непідписані монтування CIFS та відстежуйте свої журнали запит-ключ Ці прості дії блокують наступний кібератака опортуністично та стійко зміцнювати ваші захисту.

І останнє слово: не дозволяйте помилці з 2007 року зруйнувати вашу сучасну інфраструктуру, виправте її до вихідних!

Джерело: www.lemondeinformatique.fr