Se ha publicado código de prueba de concepto (PoC) para la vulnerabilidad
CIFSwitch, que permite a usuarios con pocos privilegios obtener acceso de
root en sistemas Linux vulnerables.
Una vulnerabilidad del kernel de Linux de 19 años de antigüedad, denominada
CIFSwitch, permite a usuarios con pocos privilegios obtener acceso de root a través
del subsistema CIFS y la utilidad cifs-utils. La vulnerabilidad surge
de que el kernel no valida el origen de una llamada a request_key, lo
que permite a los atacantes eludir las restricciones y ejecutar código
arbitrario como root.
CIFSwitch (CVE-2026-46243) es una vulnerabilidad de explotación local , descubierta mediante el uso de
modelos de lógica de bajo nivel (LLM). El problema afecta a varias
distribuciones de Linux, en particular a aquellas con
cifs-utils instalado por defecto. Las principales distribuciones han
publicado parches y se ha publicado código de prueba de concepto para
facilitar la validación. Algunas distribuciones de Linux Mint, CentOS, Rocky
Linux, Kali Linux, AlmaLinux y SLES SAP que tienen cifs-utils instalado
por defecto son vulnerables. Algunas distribuciones son vulnerables solo si
cifs-utils se instaló manualmente.
El aviso ya es público para que los propietarios de los sistemas afectados
puedan aplicar el parche o implementar otras medidas de mitigación. Las principales distribuciones de Linux lanzaron correcciones para este
defecto de seguridad. Asim Viladi Oglu Manizada ha publicado código de prueba
de concepto (PoC) para ayudar a los defensores a «validar parches,
mitigaciones, detecciones y exposición».
CIFSwitch afecta al subsistema CIFS del kernel de Linux y a la utilidad de
espacio de usuario cifs-utils que utiliza para gestionar la
autenticación. CIFS gestiona partes del protocolo del sistema de archivos de
red SMB, como el montaje de recursos compartidos, las operaciones de
lectura/escritura y la comunicación SMB con el servidor.
Al autenticar un montaje, el subsistema envía una solicitud request_key
para obtener una clave cifs.spnego. Esta solicitud verifica la clave en
el espacio de usuario y llama a cifs.upcall como administrador para analizar
la descripción de la clave, que contiene campos como UID, PID, caché de
credenciales y espacio de nombres.
Según Asim Viladi Oglu Manizada, ingeniero de seguridad de SpaceX, el kernel
no verifica el origen de la solicitud ni la descripción de la clave, lo que
permite a un atacante llamar directamente a la función `request_key` y
proporcionar sus propios campos de descripción de clave, eludiendo así el
origen de CIFS. Dado que `cifs.upcall` se llama como root, el
proceso auxiliar cambia a los espacios de nombres del PID proporcionado en la
descripción de clave modificada, otorgando al atacante acceso de root.
Además, durante la operación, antes de que se reduzcan los privilegios, el
proceso auxiliar también realiza una búsqueda de cuenta, que pasa por el Name
Service Switch (NSS) y habilita la carga de módulos NSS.
El atacante puede aprovechar esta vulnerabilidad colocando un archivo de
configuración NSS falso y un módulo NSS en su espacio de nombres, lo que
provoca que el proceso auxiliar cargue el código controlado por el atacante
como root,
explica Manizada.
Según el ingeniero, la vulnerabilidad se puede resolver considerando legítimas
las descripciones de claves solo cuando CIFS utiliza su
spnego_cred privado, e implementando medidas de seguridad en el espacio
de usuario para verificar si la descripción de la clave es generada por el
kernel.
Muchas distribuciones de Ubuntu, Fedora, CentOS, Rocky Linux, AlmaLinux,
Oracle Linux, openSUSE y SLES bloquean la ruta de ejecución por defecto,
mientras que Amazon Linux 2 KVM y Kali Linux 2019.4/2020.4 no se ven
afectadas.
Fuente:
THN