CIFSwitch è una vulnerabilità nel sottosistema CIFS del kernel. Linux, consentendoti di ottenere i diritti di root

Раскрыты детали и опубликован эксплоит для уязвимости CIFSwitch (CVE пока не присвоен) в модуле ядра CIFS и инструментарии cifs-utils, позволяющей непривилегированному пользователю получить права root в системе. Исправление доступно только в виде патча, который опубликован 16 мая и 19 мая был принят в основную ветку ядра Linux (Le versioni di manutenzione del kernel non sono ancora disponibili).

Уязвимость затрагивает код, обеспечивающий поддержку механизма cifs.spnego для выполнения аутентификации по протоколу SPNEGO (Simple and Protected GSSAPI Negotiation) при подключении к SMB-серверам. При использовании cifs.spnego для определения ключей из Kerberos/SPNEGO ядро вызывает обработчик cifs.upcall, предоставляемый пакетом cifs-utils и выполняемый в пользовательском пространстве с правами root.

Непривилегированный пользователь может инициировать вызов обработчика через отправку запроса, требующего получения ключа «cifs.spnego», с поддельным описанием «CIFS SPNEGO». В обработчике cifs.upcall не выполняются дополнительные проверки корректности параметров, переданных через ядро, среди прочего он воспринимает заслуживающими доверия значения полей pid, uid, creduid и
upcall_target. После активации обработчик cifs.upcall переключается в пространства имён пользовательского процесса, через который был отправлен запрос, и до сброса привилегий выполняет поиск в системной базе NSS (Name Service Switch).

Атакующий может запустить свой процесс в отдельном пространстве имён точек монтирования, что приведёт к выполнению обращения к NSS в его контексте. Для эксплуатации уязвимости достаточно внутри созданного атакующим окружения разместить собственный файл конфигурации /etc/nsswitch.conf и набор подставных библиотек libnss_*.so.2. Выполнение NSS-запроса обработчиком cifs.upcall приведёт к загрузке подставленных атакующим библиотек с правами root.

Для эксплуатации уязвимости в системе должно быть разрешено создание пространств имён идентификаторов пользователей (user namespace) или точек монтирования (mount namespace), а также требуется наличие в системе установленного пакета cifs-utils. Дистрибутивы, в которых возможна эксплуатация уязвимости в конфигурации по умолчанию:

• Linux Mint Cinnamon 21.3/22.3
• CentOS Stream 9 GNOME
• Rocky Linux 9 postazione di lavoro
• Kali Linux
• AlmaLinux 9.7 postazione di lavoro
• SUSE 15 SP7/SAP 15 SP7/SAP 16

Дистрибутивы, в которых для работы эксплоита требуется установка пакета cifs-utils:

• Ubuntu 18.04/20.04/22.04 Desktop/Server
• Pop!_OS 22.04 Intel/24.04 Generic
• Ubuntu 24.04 Desktop minimal/full and Server
• Debian 11/12/13 netinst standard and GNOME/KDE/standard/XFCE
• CentOS Stream 9 Cinnamon/KDE/MATE/XFCE
• Rocky Linux 9 KDE/Workstation-Lite
• openSUSE Leap 15.6 GNOME/KDE
• openSUSE Tumbleweed GNOME/KDE
• Rocky Linux 8 GenericCloud
• Oracle Linux 8/9 KVM
• Amazon Linux KVM 2023

Дистрибутивы, в которых в конфигурации по умолчанию применяются настройки, блокирующие эксплуатацию уязвимости через SELinux или Apparmor, даже при наличии пакета cifs-utils:

• Ubuntu 26.04 Desktop/Server
• Fedora 40/41/42/43/44 Workstation/Server
• CentOS Stream 10 GNOME/KDE
• Rocky Linux 10 postazione di lavoro
• AlmaLinux 10.1 postazione di lavoro
• Oracle Linux KVM 10
• openSUSE Tumbleweed GNOME/KDE
• openSUSE Leap 16.0 OEM GNOME/KDE/Minimal-VM
• SUSE Linux 16

В качестве обходного пути защиты можно заблокировать автоматическую загрузку модуля ядра cifs:

sh -c «printf ‘install cifs /bin/false\n’ > /etc/modprobe.d/cifs.conf; rmmod cifs 2>/dev/null; true»

Также можно запретить использование user namespace («sysctl -w kernel.unprivileged_userns_clone=0») и удалить или переопределить правило cifs.spnego в настройках cifs-utils:

cat >/etc/request-key.d/cifs.spnego.conf <‘EOF’
create cifs.spnego * * /usr/sbin/keyctl negate %k 30 %S
EOF

Тем временем, за 28 мая опубликовано 137 отчётов об уязвимостях в ядре Linux, а за 27 мая — 277 отчётов.

Fonte: opennet.ru