Uma vulnerabilidade recém-descoberta de escalonamento local de privilégios no kernel Linux, batizada de CIFSwitch, pode permitir que invasores forjem descrições de chaves de autenticação CIFS, abusem do mecanismo de solicitação de chaves do kernel e obtenham privilégios de root.
O problema afeta várias distribuições Linux que incluem combinações vulneráveis do kernel com CIFS e cifs-utils, em versões 6.14 e superiores, embora algumas variantes mais antigas também sejam impactadas.
O CIFS é um protocolo de rede que permite acessar arquivos, pastas e dispositivos em uma rede local.
No Linux, ele é usado para montar, ler e gravar dados em sistemas remotos.
Quando um compartilhamento de rede CIFS usa Kerberos para autenticação, o kernel Linux solicita que um programa auxiliar em espaço de usuário execute a autenticação, com o conjunto de ferramentas cifs-utils atuando como intermediário.
"O kernel solicita uma chave do tipo cifs.spnego, e a configuração normal de keyutils/request-key executa cifs.upcall como root para buscar ou montar o material Kerberos/SPNEGO", explica Asim Viladi Oglu Manizada, engenheiro de segurança da SpaceX que descobriu e nomeou a vulnerabilidade CIFSwitch no Linux.
Segundo o pesquisador, o problema está no fato de o subsistema CIFS do kernel Linux não verificar se as solicitações de chave cifs.spnego realmente se originam do cliente CIFS do kernel.
Como consequência, um usuário sem privilégios pode criar uma solicitação cifs.spnego forjada e disparar o fluxo normal de autenticação.
Uma solicitação de chave cifs.spnego é usada pelo subsistema keyring do Linux para obter os dados de autenticação necessários ao cliente CIFS/SMB ao se conectar a um compartilhamento de rede com autenticação Kerberos/SPNEGO.
A falha faz com que o auxiliar cifs.upcall, que roda com privilégios de root, confie em campos controlados pelo invasor e que ele presume terem sido gerados pelo kernel.
Ao abusar desses campos para forçar uma troca de namespace e, em seguida, acionar uma consulta ao Name Service Switch, ou NSS, antes que os privilégios sejam descartados, um atacante local pode carregar um módulo malicioso de NSS e executar código como root.
Manizada publicou um relatório técnico detalhado explicando a causa do problema e como ele pode ser explorado para obter privilégios de root.
Segundo o pesquisador, o CIFSwitch foi introduzido há 19 anos, em 2007.
Ele acrescenta que a falha não é universal e que a exploração depende de vários fatores, como a versão vulnerável do kernel.
Entre os pré-requisitos estão também uma versão vulnerável do cifs-utils, a disponibilidade de namespaces de usuário e políticas do SELinux ou AppArmor que não bloqueiem o ataque.
Algumas distribuições que Manizada confirma como vulneráveis em suas configurações padrão são:
Linux Mint 21.3 / 22.3
CentOS Stream 9
Rocky Linux 9
AlmaLinux 9
Kali Linux 2021.4–2026.1
SLES 15 SP7
O pesquisador observou que várias versões do Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux e Amazon Linux também podem estar vulneráveis se o cifs-utils estiver instalado.
No entanto, há também versões como Ubuntu 26.04, Fedora 40 a 44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 e openSUSE Leap 16, nas quais as configurações padrão de SELinux e AppArmor impedem a exploração do CIFSwitch.
Além disso, Amazon Linux 2 e Kali Linux 2019.4 e 2020.4 não são afetados, já que suas versões do cifs-utils não possuem a funcionalidade de troca de namespace.
O CIFSwitch foi corrigido por um patch no kernel que adiciona validação da origem das solicitações cifs.spnego, em um commit upstream identificado como 3da1fdf, mas as versões exatas do kernel que incorporam essa correção variam de acordo com a distribuição.
O pesquisador recomenda que os usuários desativem ou coloquem em lista de bloqueio o módulo CIFS se ele não estiver em uso, removam o pacote cifs-utils se ele não for necessário e desativem namespaces de usuário sem privilégios.
Manizada também publicou um exploit de prova de conceito, ou PoC, para o CIFSwitch, que pode ajudar organizações a validar a eficácia dos patches e das medidas de mitigação aplicadas.
O CIFSwitch é a mais recente de uma série de falhas de elevação de privilégios que afetam sistemas Linux e que foram divulgadas recentemente, incluindo Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt e PinTheft.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...