**CIFSwitch**: Una vulnerabilidad de escalada de privilegios local recién descubierta en el kernel de Linux podría permitir a los atacantes falsificar descripciones de claves de autenticación CIFS, abusar del mecanismo de solicitud de claves del kernel y obtener privilegios de root. ### La Vulnerabilidad El problema afecta a múltiples distribuciones de Linux que incluyen combinaciones vulnerables del kernel CIFS y cifs-utils (versiones 6.14 y superiores, aunque algunas variantes más antiguas también se ven afectadas). **CIFS** (Common Internet File System) es un protocolo de red que permite el acceso a archivos, carpetas y dispositivos en una red local. Linux lo utiliza para montar, leer y escribir datos de sistemas remotos. Si un recurso compartido de red CIFS utiliza Kerberos para la autenticación, el kernel de Linux solicita a un programa auxiliar en el espacio de usuario que realice la autenticación, con la colección de herramientas de espacio de usuario cifs-utils sirviendo como intermediario. "El kernel solicita una clave de tipo cifs.spnego, y la configuración normal de keyutils/request-key ejecuta cifs.upcall como root para obtener o construir el material Kerberos/SPNEGO", explica **Asim Viladi Oglu Manizada**, un ingeniero de seguridad de **SpaceX** que descubrió y nombró la vulnerabilidad de escalada de privilegios CIFSwitch en Linux. El investigador dice que el problema consiste en que el subsistema CIFS del kernel de Linux no verifica que las solicitudes de clave cifs.spnego se originan en el cliente CIFS del kernel. Como resultado, un usuario sin privilegios puede crear una solicitud cifs.spnego falsificada y activar el flujo de trabajo de autenticación normal. Una solicitud de clave cifs.spnego es utilizada por el subsistema keyring de Linux para obtener los datos de autenticación necesarios para el cliente CIFS/SMB al conectarse a un recurso compartido de red utilizando autenticación Kerberos/SPNEGO. La falla permite que el auxiliar cifs.upcall, con privilegios de root, confíe en campos controlados por el atacante que asume que fueron generados por el kernel. Al abusar de estos campos para forzar un cambio de espacio de nombres (namespace switch) y luego activar una búsqueda de Name Service Switch (**NSS**) antes de que se reduzcan los privilegios, un atacante local puede cargar un módulo NSS malicioso y lograr la ejecución de código como root. **Manizada** ha publicado un [informe técnico](https://heyitsas.im/posts/cifswitch/) extenso que explica la causa del problema y cómo se puede aprovechar para obtener privilegios de root. ### Impacto, Correcciones y Explotación Manizada dice que CIFSwitch fue [introducido hace 19 años](https://github.com/torvalds/linux/blame/7ad785927d9eb348adb381d168ed73d0dd3c7670/fs/smb/client/cifs_spnego.c), en 2007. Añade que es "no universal" y su explotación depende de varios factores, como una versión vulnerable del kernel. Otros requisitos previos incluyen una versión vulnerable de cifs-utils, la disponibilidad de espacios de nombres de usuario y políticas SELinux/AppArmor que no bloquean el ataque. Algunas distribuciones que Manizada confirma como vulnerables con sus configuraciones predeterminadas son: * Linux Mint 21.3 / 22.3 * CentOS Stream 9 * Rocky Linux 9 * AlmaLinux 9 * Kali Linux 2021.4–2026.1 * SLES 15 SP7 El investigador señaló que varias versiones de Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux y Amazon Linux también podrían ser vulnerables si se instala 'cifs-utils'. Sin embargo, también existen versiones como Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 y openSUSE Leap 16, donde la configuración predeterminada de SELinux/AppArmor evita la explotación de CIFSwitch. Además, Amazon Linux 2 y Kali Linux 2019.4 y 2020.4 no se ven afectados en absoluto, ya que sus versiones de cifs-utils carecen de la funcionalidad de cambio de espacio de nombres. CIFSwitch ha sido corregido por un parche del kernel que agrega validación de los orígenes de las solicitudes cifs.spnego (commit upstream [3da1fdf](https://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2)), pero las versiones exactas del kernel que incluyen ese parche varían según la distribución. El investigador recomienda que los usuarios deshabiliten o pongan en lista negra el módulo CIFS si no se utiliza, eliminen el paquete cifs-utils si no es necesario y deshabiliten los espacios de nombres de usuario no privilegiados. Manizada publicó un [exploit de prueba de concepto (PoC) para CIFSwitch](http://github.com/manizada/CIFSwitch), que puede ayudar a las organizaciones a validar la efectividad de los parches y mitigaciones aplicados. CIFSwitch es la última de una serie de fallas de elevación de privilegios que afectan a los sistemas Linux y que se divulgaron recientemente, incluidas '[Copy Fail](https://www.bleepingcomputer.com/news/security/new-linux-copy-fail-flaw-gives-hackers-root-on-major-distros/),' '[Dirty Frag](https://www.bleepingcomputer.com/news/security/new-linux-dirty-frag-zero-day-with-poc-exploit-gives-root-privileges/),' '[Fragnesia](https://www.bleepingcomputer.com/news/security/new-fragnesia-linux-flaw-lets-attackers-gain-root-privileges/),' '[DirtyDecrypt](https://www.bleepingcomputer.com/news/security/exploit-available-for-new-dirtydecrypt-linux-root-escalation-flaw/),' y '[PinTheft](https://www.bleepingcomputer.com/news/linux/exploit-released-for-new-pintheft-arch-linux-root-escalation-flaw/).'  ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Las herramientas de pentesting automatizado brindan valor real, pero fueron creadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron creadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si sus configuraciones en la nube son seguras. Esta guía cubre las 6 superficies que realmente necesita validar. [Descargar Ahora](https://hubs.li/Q048zztN0)