CIFSwitch: falha de 19 anos no kernel Linux dá root

Falha de 19 anos no kernel

Um pesquisador de segurança descobriu uma vulnerabilidade de escalação de privilégios locais no kernel Linux, denominada CIFSwitch, que existe desde 2007 e permite que usuários sem privilégios obtenham acesso root em múltiplas distribuições. A falha explora o subsistema CIFS (Common Internet File System) do Linux e foi divulgada publicamente em 27 de maio de 2026.

O problema reside na forma como o kernel solicita autenticação Kerberos para montagens CIFS. Quando um compartilhamento de rede usa Kerberos, o kernel invoca o utilitário cifs.upcall como root para obter as credenciais SPNEGO. No entanto, o kernel nunca verifica se a requisição de chave cifs.spnego realmente originou-se do cliente CIFS — qualquer usuário pode criar uma requisição forjada e acionar o fluxo de autenticação.

Mecanismo de exploração

O atacante cria uma requisição cifs.spnego com campos controlados, incluindo upcall_target=app, que força o helper cifs.upcall a trocar para o namespace do atacante. Como o helper executa como root, ele realiza consultas de serviço de nomes (NSS) que carregam módulos compartilhados a partir de arquivos controlados pelo atacante dentro desse namespace. O construtor do módulo malicioso é executado com privilégios de root, completando a escalação.

O pesquisador Asim Manizada, engenheiro de segurança da SpaceX, creditou o uso de raciocínio gráfico assistido por LLM para identificar a vulnerabilidade — um padrão crescente onde ferramentas de IA escaneiam grandes bases de código e reconhecem padrões estruturais que humanos ignoraram por anos.

Distribuições afetadas

Distribuições vulneráveis com configuração padrão:

• Linux Mint 21.3 e 22.3
• CentOS Stream 9
• Rocky Linux 9
• AlmaLinux 9
• SLES 15 SP7
• Kali Linux 2021.4 a 2026.1

Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux e Amazon Linux podem ser afetados se o pacote cifs-utils estiver instalado. Distribuições como Ubuntu 26.04, Fedora 40-44, CentOS Stream 10 e openSUSE Leap 16 possuem políticas SELinux ou AppArmor que bloqueiam a exploração por padrão.

Como mitigar o risco

O patch no kernel (commit 3da1fdf) adiciona validação da origem das requisições cifs.spnego. Para proteção imediata:

• Desabilitar ou colocar na blacklist o módulo CIFS se não for necessário
• Remover o pacote cifs-utils se não for usado
• Desativar namespaces de usuário sem privilégios
• Aplicar patch do kernel quando disponível para sua distribuição
• Validar a eficácia do patch usando o proof-of-concept publicado

A CIFSwitch é a mais recente de uma série de falhas LPE no Linux, incluindo Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt e PinTheft.

Referências

• BleepingComputer — CIFSwitch Linux Flaw Gives Root
• CIQ — CIFSwitch: AI and a 19-Year Bug
• CloudLinux — CIFSwitch Mitigation and Kernel Update
• University of Wisconsin — CIFSwitch Advisory