📅 Contexte : Le 7 mai 2026, Sasha Levin (sashal@kernel.org) a soumis un patch sur la liste de diffusion linux-kernel proposant l’ajout d’un nouveau sous-système nommé killswitch au noyau Linux.

🔧 Mécanisme technique : Le killswitch permet à un opérateur disposant de CAP_SYS_ADMIN de faire retourner à une fonction noyau une valeur fixe sans exécuter son corps, via l’installation d’un kprobe à l’entrée de la fonction cible. La commande s’effectue via l’interface securityfs :

e c h o " e n g a g e a f _ a l g _ s e n d m s g - 1 " > / s y s / k e r n e l / s e c u r i t y / k i l l s w i t c h / c o n t r o l

La mitigation prend effet immédiatement sur tous les CPU et est annulée au prochain redémarrage.

🎯 Cas d’usage : Cibler des fonctions vulnérables dans des chemins de code peu utilisés par la majorité des systèmes : AF_ALG, ksmbd, nf_tables, vsock, ax25, etc. Le patch inclut un exemple concret de mitigation d’une vulnérabilité AF_ALG via af_alg_sendmsg.

⚙️ Dépendances techniques :

  • CONFIG_SECURITYFS
  • CONFIG_KPROBES avec support ftrace
  • CONFIG_FUNCTION_ERROR_INJECTION

📁 Interface exposée :

  • /sys/kernel/security/killswitch/control (écriture des commandes engage/disengage)
  • /sys/kernel/security/killswitch/engaged (liste des fonctions court-circuitées)
  • /sys/kernel/security/killswitch/fn/<name>/hits (compteur d’appels)
  • /sys/kernel/security/killswitch/fn/<name>/retval (valeur de retour configurable)

🔒 Sécurité et traçabilité : Chaque engagement/désengagement émet un message KERN_WARNING dans dmesg avec l’identité de l’opérateur (uid/auid/sessionid/comm). Le premier engagement positionne le flag de taint TAINT_KILLSWITCH (bit 20, caractère H), persistant jusqu’au redémarrage.

⚠️ Limitations documentées : Le mécanisme ne valide pas le type de retour, ne fournit pas d’implémentation de remplacement (contrairement à livepatch), et peut introduire des bugs secondaires si la fonction cible n’est pas choisie au bon niveau d’abstraction (anti-patterns documentés pour af_alg_count_tsgl et af_alg_pull_tsgl).

🧪 Tests : Le patch inclut des KUnit tests, un module de test test_killswitch.ko, et des selftests incluant un test de mitigation CVE-2026-31431 via AF_ALG AEAD.

📌 Type d’article : Annonce technique / proposition de patch noyau Linux visant à fournir un mécanisme de mitigation temporaire pour les vulnérabilités noyau en production.

🧠 TTPs et IOCs détectés

IOC

  • CVEs : CVE-2026-31431NVD · CIRCL
  • Chemins : /sys/kernel/security/killswitch/control
  • Chemins : /sys/kernel/security/killswitch/engaged
  • Chemins : /sys/kernel/security/killswitch/taint
  • Chemins : /sys/kernel/debug/test_killswitch/fire

🟡 Indice de vérification factuelle : 35/100 (moyenne)

  • ⬜ lore.kernel.org — source non référencée (0pts)
  • ✅ 52243 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ⬜ aucune TTP identifiée (0pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://lore.kernel.org/all/20260507070547.2268452-1-sashal@kernel.org/