Mecanismo técnico da falha
Uma vulnerabilidade de escalonamento de privilégios chamada CIFSwitch, presente no kernel Linux há 19 anos, permite que usuários sem privilégios obtenham acesso root em múltiplas distribuições. Descoberta pelo engenheiro de segurança da SpaceX Asim Viladi Oglu Manizada, a falha no subsistema CIFS já possui prova de conceito pública e afeta sistemas corporativos.
A falha explora a interação entre o cliente CIFS do kernel e as ferramentas userspace cifs-utils durante a autenticação Kerberos/SPNEGO para compartilhamentos de rede. Quando o kernel monta um compartilhamento CIFS com Kerberos, ele solicita uma chave do tipo cifs.spnego. O sistema executa cifs.upcall como root para obter o material de autenticação.
O problema é que o subsistema CIFS do kernel não verifica se as requisições de chave cifs.spnego realmente originam do cliente CIFS. Um usuário sem privilégios pode criar uma requisição forjada, acionando o fluxo de autenticação normal. O helper cifs.upcall, executado como root, processa campos controlados pelo atacante. Com esses campos, o atacante força uma troca de namespace, dispara uma lookup do Name Service Switch antes da queda de privilégios, carrega um módulo NSS malicioso e obtém execução de código como root.
Distribuições afetadas
| Distribuição | Status |
|---|---|
| CentOS Stream 9 | Vulnerável (config padrão) |
| Rocky Linux 9 | Vulnerável (config padrão) |
| AlmaLinux 9 | Vulnerável (config padrão) |
| Linux Mint 21.3 / 22.3 | Vulnerável (config padrão) |
| Kali Linux 2021.4–2026.1 | Vulnerável (config padrão) |
| SLES 15 SP7 | Vulnerável (config padrão) |
| Ubuntu, Debian, Pop!_OS | Potencialmente (se cifs-utils instalado) |
| Ubuntu 26.04 / Fedora 40-44 | Protegido (SELinux/AppArmor) |
A exploração não é universal — requer uma combinação de kernel vulnerável, versão vulnerável do cifs-utils (6.14 ou superior), disponibilidade de user namespaces e políticas SELinux/AppArmor que não bloqueiem o ataque. Distribuições com SELinux ou AppArmor restritivos, como Ubuntu 26.04 e Fedora 40-44, bloqueiam a exploração por padrão.
Como mitigar o risco
O kernel Linux recebeu o patch no commit 3da1fdf, que adiciona validação da origem das requisições cifs.spnego. A prioridade é atualizar o kernel para uma versão com o patch — verifique o advisory da sua distribuição para a versão específica.
Se a atualização não for imediata, três mitigações estão disponíveis: desabilitar ou bloquear o módulo CIFS (echo "install cifs /bin/true" >> /etc/modprobe.d/disable-cifs.conf), remover o pacote cifs-utils se for desnecessário, ou desabilitar user namespaces não privilegiados (sysctl -w kernel.unprivileged_userns_clone=0).
A prova de conceito está publicada no GitHub do pesquisador (github.com/manizada/CIFSwitch), o que aumenta a urgência da correção. A falha se junta a uma série recente de vulnerabilidades LPE no Linux, incluindo Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt e PinTheft. Sistemas com múltiplos usuários ou ambientes compartilhados devem ser priorizados na correção.