🔍 Contexte

Publié le 30 mai 2026 sur BleepingComputer, cet article rapporte la divulgation d’une vulnérabilité locale d’élévation de privilèges dans le noyau Linux, nommée CIFSwitch, découverte par Asim Viladi Oglu Manizada, ingénieur sécurité chez SpaceX.

🧩 Mécanisme de la vulnérabilité

Le sous-système CIFS du noyau Linux ne vérifie pas que les requêtes de clé cifs.spnego proviennent bien du client CIFS du noyau. Un utilisateur non privilégié peut ainsi :

  • Créer une requête cifs.spnego forgée pour déclencher le workflow d’authentification normal
  • Abuser du helper cifs.upcall (exécuté en root) qui fait confiance aux champs contrôlés par l’attaquant
  • Forcer un changement de namespace, puis déclencher une résolution NSS (Name Service Switch) avant l’abandon des privilèges
  • Charger un module NSS malveillant pour obtenir une exécution de code en root

📦 Versions et distributions affectées

La faille a été introduite en 2007 et affecte les combinaisons vulnérables du noyau CIFS et de cifs-utils (versions 6.14 et supérieures, ainsi que certaines versions antérieures). Les distributions confirmées vulnérables dans leur configuration par défaut incluent :

  • Linux Mint 21.3 / 22.3
  • CentOS Stream 9
  • Rocky Linux 9
  • AlmaLinux 9
  • Kali Linux 2021.4–2026.1
  • SLES 15 SP7

D’autres distributions (Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux, Amazon Linux) peuvent être vulnérables si cifs-utils est installé. Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 et openSUSE Leap 16 ne sont pas exploitables grâce à leurs politiques SELinux/AppArmor par défaut.

🛠️ Correctif et PoC

Un patch noyau ajoutant la validation de l’origine des requêtes cifs.spnego a été publié (commit upstream 3da1fdf). Un exploit PoC a été publié par le chercheur pour permettre la validation des correctifs. La faille s’inscrit dans une série récente de vulnérabilités d’élévation de privilèges Linux : Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt, PinTheft.

📰 Type d’article

Il s’agit d’un rapport de vulnérabilité visant à informer la communauté de sécurité sur la nature technique, l’impact et les correctifs disponibles pour CIFSwitch.

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1574.006 — Hijack Execution Flow: Dynamic Linker Hijacking (Privilege Escalation)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4393 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-cifswitch-linux-flaw-gives-root-on-multiple-distributions/

🖴 Archive : https://web.archive.org/web/20260601072013/https://www.bleepingcomputer.com/news/security/new-cifswitch-linux-flaw-gives-root-on-multiple-distributions/