**CIFSwitch** : Une vulnérabilité d'escalade de privilèges locale nouvellement découverte dans le noyau Linux pourrait permettre aux attaquants de falsifier des descriptions de clés d'authentification CIFS, d'abuser du mécanisme de requête de clé du noyau et d'obtenir des privilèges root. ### La Vulnérabilité Le problème affecte plusieurs distributions Linux qui utilisent des combinaisons vulnérables du noyau CIFS et de cifs-utils (versions 6.14 et supérieures, bien que certaines anciennes variantes soient également affectées). **CIFS** (Common Internet File System) est un protocole réseau qui permet d'accéder à des fichiers, des dossiers et des périphériques sur un réseau local. Linux l'utilise pour monter, lire et écrire des données à partir de systèmes distants. Si un partage réseau CIFS utilise Kerberos pour l'authentification, le noyau Linux demande à un programme d'assistance en espace utilisateur d'effectuer l'authentification, la collection d'outils en espace utilisateur cifs-utils servant d'intermédiaire. "Le noyau demande une clé de type cifs.spnego, et la configuration normale keyutils/request-key exécute cifs.upcall en tant que root pour récupérer ou construire le matériel Kerberos/SPNEGO", explique **Asim Viladi Oglu Manizada**, un ingénieur sécurité chez **SpaceX** qui a découvert et nommé la vulnérabilité d'escalade de privilèges CIFSwitch dans Linux. Le chercheur affirme que le problème réside dans le fait que le sous-système CIFS du noyau Linux ne parvient pas à vérifier que les requêtes de clé cifs.spnego proviennent du client CIFS du noyau. En conséquence, un utilisateur non privilégié peut créer une requête cifs.spnego falsifiée et déclencher le flux d'authentification normal. Une requête de clé cifs.spnego est utilisée par le sous-système keyring du noyau Linux pour obtenir les données d'authentification nécessaires au client CIFS/SMB lors de la connexion à un partage réseau utilisant l'authentification Kerberos/SPNEGO. La faille permet au programme d'assistance cifs.upcall, qui possède des privilèges root, de faire confiance à des champs contrôlés par l'attaquant qu'il suppose avoir été générés par le noyau. En abusant de ces champs pour forcer un changement d'espace de noms (namespace switch) puis en déclenchant une recherche Name Service Switch (**NSS**) avant que les privilèges ne soient abandonnés, un attaquant local peut charger un module NSS malveillant et obtenir l'exécution de code root. **Manizada** a publié un [rapport technique](https://heyitsas.im/posts/cifswitch/) détaillé expliquant la cause du problème et comment il peut être exploité pour obtenir des privilèges root. ### Impact, Correctifs et Exploitation Manizada indique que CIFSwitch a été [introduit il y a 19 ans](https://github.com/torvalds/linux/blame/7ad785927d9eb348adb381d168ed73d0dd3c7670/fs/smb/client/cifs_spnego.c), en 2007. Il ajoute qu'il est "non universel" et que son exploitation dépend de plusieurs facteurs, tels qu'une version vulnérable du noyau. Les autres prérequis incluent une version vulnérable de cifs-utils, la disponibilité des espaces de noms utilisateur, et des politiques SELinux/AppArmor qui ne bloquent pas l'attaque. Certaines distributions que Manizada confirme comme vulnérables avec leurs configurations par défaut sont : * Linux Mint 21.3 / 22.3 * CentOS Stream 9 * Rocky Linux 9 * AlmaLinux 9 * Kali Linux 2021.4–2026.1 * SLES 15 SP7 Le chercheur a noté que diverses versions d'Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux et Amazon Linux pourraient également être vulnérables si 'cifs-utils' est installé. Cependant, il existe également des versions telles qu'Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 et openSUSE Leap 16, où les paramètres par défaut de SELinux/AppArmor empêchent l'exploitation de CIFSwitch. De plus, Amazon Linux 2 et Kali Linux 2019.4 et 2020.4 ne sont pas affectés du tout, car leurs versions de cifs-utils manquent de la fonctionnalité de changement d'espace de noms. CIFSwitch a été corrigé par un patch du noyau qui ajoute la validation des origines des requêtes cifs.spnego (commit upstream [3da1fdf](https://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2)), mais les versions exactes du noyau qui incluent ce patch varient selon la distribution. Le chercheur recommande aux utilisateurs de désactiver ou de blacklister le module CIFS s'il n'est pas utilisé, de supprimer le paquet cifs-utils si inutile, et de désactiver les espaces de noms utilisateur non privilégiés. Manizada a publié un [exploit de preuve de concept (PoC) pour CIFSwitch](http://github.com/manizada/CIFSwitch), qui peut aider les organisations à valider l'efficacité des correctifs et des atténuations appliqués. CIFSwitch est la dernière d'une série de failles d'élévation de privilèges affectant les systèmes Linux qui ont été récemment divulguées, notamment '[Copy Fail](https://www.bleepingcomputer.com/news/security/new-linux-copy-fail-flaw-gives-hackers-root-on-major-distros/),' '[Dirty Frag](https://www.bleepingcomputer.com/news/security/new-linux-dirty-frag-zero-day-with-poc-exploit-gives-root-privileges/),' '[Fragnesia](https://www.bleepingcomputer.com/news/security/new-fragnesia-linux-flaw-lets-attackers-gain-root-privileges/),' '[DirtyDecrypt](https://www.bleepingcomputer.com/news/security/exploit-available-for-new-dirtydecrypt-linux-root-escalation-flaw/),' et '[PinTheft](https://www.bleepingcomputer.com/news/linux/exploit-released-for-new-pintheft-arch-linux-root-escalation-flaw/).'  ## [Le fossé de validation : le pentesting automatisé répond à une question. Vous en avez besoin de six.](https://hubs.li/Q048zztN0) Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)