**CIFSwitch**: Uma vulnerabilidade recém-descoberta de escalonamento local de privilégios no kernel Linux pode permitir que atacantes forjem descrições de chaves de autenticação CIFS, abusem do mecanismo de requisição de chaves do kernel e obtenham privilégios de root. ### A Vulnerabilidade A questão afeta múltiplas distribuições Linux que enviam combinações vulneráveis do kernel CIFS e cifs-utils (versões 6.14 e superiores, embora algumas variantes mais antigas também sejam afetadas). **CIFS** (Common Internet File System) é um protocolo de rede que permite o acesso a arquivos, pastas e dispositivos em uma rede local. O Linux o utiliza para montar, ler e escrever dados de sistemas remotos. Se um compartilhamento de rede CIFS usa Kerberos para autenticação, o kernel Linux solicita a um programa auxiliar no espaço do usuário para realizar a autenticação, com a coleção de ferramentas de espaço do usuário cifs-utils servindo como intermediário. "O kernel solicita uma chave do tipo cifs.spnego, e a configuração normal do keyutils/request-key executa o cifs.upcall como root para buscar ou construir o material Kerberos/SPNEGO", explica **Asim Viladi Oglu Manizada**, um engenheiro de segurança da **SpaceX** que descobriu e nomeou a vulnerabilidade de escalonamento de privilégios CIFSwitch no Linux. O pesquisador afirma que o problema consiste na falha do subsistema CIFS do kernel Linux em verificar se as requisições de chave cifs.spnego se originam do cliente CIFS do kernel. Como resultado, um usuário sem privilégios pode criar uma requisição cifs.spnego forjada e acionar o fluxo de autenticação normal. A requisição de chave cifs.spnego é usada pelo subsistema keyring do Linux para obter dados de autenticação necessários ao cliente CIFS/SMB ao se conectar a um compartilhamento de rede usando autenticação Kerberos/SPNEGO. A falha permite que o auxiliar cifs.upcall, com privilégios de root, confie em campos controlados pelo atacante que ele assume terem sido gerados pelo kernel. Ao abusar desses campos para forçar uma troca de namespace e, em seguida, acionar uma consulta ao Name Service Switch (**NSS**) antes que os privilégios sejam removidos, um atacante local pode carregar um módulo NSS malicioso e obter execução de código como root. **Manizada** publicou um [relatório técnico](https://heyitsas.im/posts/cifswitch/) extenso explicando a causa do problema e como ele pode ser explorado para obter privilégios de root. ### Impacto, Correções e Exploração Manizada afirma que o CIFSwitch foi [introduzido há 19 anos](https://github.com/torvalds/linux/blame/7ad785927d9eb348adb381d168ed73d0dd3c7670/fs/smb/client/cifs_spnego.c), em 2007. Ele acrescenta que é "não universal" e que a exploração depende de vários fatores, como uma versão vulnerável do kernel. Outros pré-requisitos incluem uma versão vulnerável do cifs-utils, a disponibilidade de namespaces de usuário e políticas SELinux/AppArmor que não bloqueiem o ataque. Algumas distribuições que Manizada confirma como vulneráveis com suas configurações padrão são: * Linux Mint 21.3 / 22.3 * CentOS Stream 9 * Rocky Linux 9 * AlmaLinux 9 * Kali Linux 2021.4–2026.1 * SLES 15 SP7 O pesquisador observou que várias versões do Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux e Amazon Linux também podem ser vulneráveis se o ‘cifs-utils’ estiver instalado. No entanto, existem também versões como Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 e openSUSE Leap 16, onde as configurações padrão de SELinux/AppArmor impedem a exploração do CIFSwitch. Além disso, Amazon Linux 2 e Kali Linux 2019.4 e 2020.4 não são afetados de forma alguma, pois suas versões de cifs-utils carecem da funcionalidade de troca de namespace. O CIFSwitch foi corrigido por um patch no kernel que adiciona validação de origens de requisição cifs.spnego (commit upstream [3da1fdf](https://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2)), mas as versões exatas do kernel que incluem esse patch variam por distribuição. O pesquisador recomenda que os usuários desabilitem ou coloquem na lista negra o módulo CIFS se não estiver em uso, removam o pacote cifs-utils se desnecessário e desabilitem namespaces de usuário não privilegiados. Manizada publicou um [exploit de prova de conceito (PoC) para CIFSwitch](http://github.com/manizada/CIFSwitch), que pode ajudar as organizações a validar a eficácia dos patches e mitigações aplicados. O CIFSwitch é o mais recente em uma série de falhas de elevação de privilégios que afetam sistemas Linux e que foram divulgadas recentemente, incluindo ‘[Copy Fail](https://www.bleepingcomputer.com/news/security/new-linux-copy-fail-flaw-gives-hackers-root-on-major-distros/),' ‘[Dirty Frag](https://www.bleepingcomputer.com/news/security/new-linux-dirty-frag-zero-day-with-poc-exploit-gives-root-privileges/),' ‘[Fragnesia](https://www.bleepingcomputer.com/news/security/new-fragnesia-linux-flaw-lets-attackers-gain-root-privileges/),' ‘[DirtyDecrypt](https://www.bleepingcomputer.com/news/security/exploit-available-for-new-dirtydecrypt-linux-root-escalation-flaw/),' e ‘[PinTheft](https://www.bleepingcomputer.com/news/linux/exploit-released-for-new-pintheft-arch-linux-root-escalation-flaw/).'  ## [A Lacuna de Validação: Pentesting Automatizado Responde a Uma Pergunta. Você Precisa de Seis.](https://hubs.li/Q048zztN0) Ferramentas de pentesting automatizado entregam valor real, mas foram construídas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram construídas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem são seguras. Este guia abrange as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)