Новооткрита уязвимост за локално повишаване на привилегии в Linux, наречена CIFSwitch, може да позволи на атакуващи да получат root достъп чрез злоупотреба с механизма за удостоверяване на CIFS и kernel key request системата.

Проблемът засяга множество Linux дистрибуции, използващи уязвими комбинации от Linux kernel и пакета cifs-utils, включително версии 6.14 и по-нови, както и някои по-стари варианти.

Уязвимостта е открита от Асим Вилади Оглу Манизада, инженер по сигурността в SpaceX.

Какво представлява CIFS

CIFS (Common Internet File System) е мрежов протокол, използван за достъп до файлове, папки и ресурси през локални и корпоративни мрежи. В Linux той се използва за свързване към SMB/CIFS споделени ресурси, често в Windows среди.

Когато мрежовият ресурс използва Kerberos удостоверяване, Linux kernel извиква помощна програма в user space – cifs.upcall – чрез пакета cifs-utils.

Как работи атаката

Според изследователя проблемът е, че CIFS подсистемата в Linux kernel не проверява правилно дали заявките от тип cifs.spnego действително произхождат от kernel CIFS клиента.

Това позволява на непривилегирован потребител да създаде фалшива cifs.spnego заявка и да задейства процеса по удостоверяване.

В резултат:

• root-привилегированата програма cifs.upcall започва да обработва attacker-controlled данни;
• атакуващият може да извърши namespace switch;
• да принуди Name Service Switch (NSS) lookup;
• и да зареди злонамерен NSS модул.

Крайният резултат е изпълнение на произволен код с root права.

Уязвимост с почти 20-годишна история

Изследователят посочва, че проблемът съществува още от 2007 г., което означава, че уязвимостта е била част от Linux екосистемата близо 19 години.

Експлоатацията обаче зависи от няколко фактора:

• уязвима kernel версия;
• наличие на cifs-utils;
• активирани user namespaces;
• липса на restriktivni SELinux или AppArmor политики.

Засегнати дистрибуции

Сред потвърдено уязвимите системи с настройки по подразбиране са:

• Linux Mint 21.3 и 22.3;
• CentOS Stream 9;
• Rocky Linux 9;
• AlmaLinux 9;
• Kali Linux 2021.4 – 2026.1;
• SLES 15 SP7.

Потенциално засегнати могат да бъдат и версии на:

• Ubuntu;
• Debian;
• Pop!_OS;
• Oracle Linux;
• Amazon Linux;
• openSUSE.

Кои системи са защитени

Някои по-нови дистрибуции не позволяват успешна експлоатация благодарение на по-строги SELinux/AppArmor политики.

Сред тях са:

• Ubuntu 26.04;
• Fedora 40-44;
• CentOS Stream 10;
• Rocky Linux 10;
• AlmaLinux 10;
• SLES 16;
• openSUSE Leap 16.

Освен това Amazon Linux 2 и по-стари версии на Kali Linux не са засегнати, тъй като техните cifs-utils пакети не поддържат namespace switching функционалността.

Наличен е PoC exploit

Изследователят вече е публикувал proof-of-concept exploit, който демонстрира как уязвимостта може да бъде използвана за придобиване на root достъп.

Паралелно с това Linux kernel разработчиците са публикували patch, който добавя валидиране на произхода на cifs.spnego заявките.

Препоръки към администраторите

Експертите препоръчват:

• незабавно инсталиране на kernel обновления;
• деактивиране или blacklist на CIFS модула, ако не се използва;
• премахване на cifs-utils при липса на необходимост;
• деактивиране на unprivileged user namespaces;
• активиране и затягане на SELinux/AppArmor политики.

Поредна сериозна Linux privilege escalation уязвимост

CIFSwitch е част от нарастващ списък от сериозни Linux privilege escalation уязвимости, разкрити през последните месеци, сред които:

• Copy Fail;
• Dirty Frag;
• Fragnesia;
• DirtyDecrypt;
• PinTheft.

Тенденцията показва засилен интерес на изследователи и атакуващи към дълбоко вкоренени механизми в Linux kernel, които често остават незабелязани с години.