Η ευπάθεια CIFSwitch στον πυρήνα Linux δίνει root πρόσβαση σε πολλαπλές διανομές

Μια νέα ευπάθεια τοπικής κλιμάκωσης δικαιωμάτων στον πυρήνα Linux, γνωστή ως «CIFSwitch», επιτρέπει σε επιτιθέμενους να παραποιήσουν περιγραφές κλειδιών CIFS αυθεντικοποίησης, να καταχραστούν τον μηχανισμό αίτησης κλειδιών του πυρήνα και να αποκτήσουν δικαιώματα root. Το πρόβλημα επηρεάζει πολλαπλές διανομές Linux που διαθέτουν ευάλωτους συνδυασμούς πυρήνα CIFS και cifs-utils (εκδόσεις 6.14 και νεότερες, αν και επηρεάζονται και παλαιότερες παραλλαγές).

Πώς λειτουργεί η επίθεση

Το CIFS (Common Internet File System) είναι πρωτόκολλο δικτύωσης που επιτρέπει πρόσβαση σε αρχεία, φακέλους και συσκευές μέσω τοπικού δικτύου. Το Linux το χρησιμοποιεί για να προσαρτά, να διαβάζει και να γράφει δεδομένα από απομακρυσμένα συστήματα. Όταν ένα κοινόχρηστο αρχείο CIFS χρησιμοποιεί Kerberos για αυθεντικοποίηση, ο πυρήνας Linux ζητά από ένα βοηθητικό πρόγραμμα στον χώρο χρήστη να εκτελέσει την αυθεντικοποίηση, με τη συλλογή εργαλείων cifs-utils να λειτουργεί ως ενδιάμεσος.

Το πρόβλημα πηγάζει από ανεπαρκή επικύρωση των περιγραφών κλειδιών στον τύπο κλειδιού CIFs.Spnego, επιτρέποντας σε μη προνομιούχους χρήστες να πλαστογραφήσουν αξιόπιστα αιτήματα πυρήνα και να ενεργοποιήσουν προνομιούχες λειτουργίες. Η εκμετάλλευση δεν βασίζεται σε καταστροφή μνήμης (δεν υπάρχουν buffer overflows), αλλά αποκλειστικά σε λογικό σφάλμα εξουσιοδότησης — γεγονός που την καθιστά πιο αθόρυβη και αξιόπιστη στην εκτέλεση.

Μέσα στον χώρο ονομάτων προσάρτησης που ελέγχει ο επιτιθέμενος, μπορεί να τοποθετηθεί ένα rogue nsswitch.conf και κακόβουλο libnss_*.so.2, ώστε μια αναζήτηση NSS με δικαιώματα root να φορτώσει και να εκτελέσει αυθαίρετο κώδικα. Στο PoC του Manizada, το κακόβουλο NSS module γράφει μια καταχώρηση στο /etc/sudoers.d, εκχωρώντας στον επιτιθέμενο πλήρη root πρόσβαση.

18 χρόνια στον κώδικα — ανακαλύφθηκε με AI

Σύμφωνα με τον ερευνητή Asim Manizada, η ευπάθεια CIFSwitch εισήχθη το 2007. Η ευπάθεια εντοπίστηκε με AI-υποβοηθούμενη προσέγγιση πολλαπλής συλλογιστικής (multihop reasoning), που κατασκευάζει και διατρέχει σημασιολογικούς γράφους αντικειμένων και ροών ασφαλείας, επιτρέποντας τη σύνδεση διάσπαρτων λογικών σφαλμάτων σε ένα λειτουργικό exploit. Η τεχνική αυτή απέδειξε ότι μπορεί να αναδείξει λανθάνουσες ευπάθειες κλιμάκωσης δικαιωμάτων στον πυρήνα που διέφυγαν 18 χρόνια χειροκίνητης επισκόπησης κώδικα.

Η αποκάλυψη έγινε μετά από εμπάργκο συντονισμένο με τις διανομές Linux, και ενημερώσεις πυρήνα είναι ήδη διαθέσιμες. Το γεγονός ότι το PoC συνόδευσε την αποκάλυψη συμπιέζει το παράθυρο εφαρμογής επιδιορθώσεων σε ώρες για κάθε σύστημα με ενεργό CIFS.

Ποιες διανομές επηρεάζονται

Σε προεπιλεγμένη ρύθμιση επιβεβαιωμένα ευάλωτες είναι: Linux Mint 21.3/22.3, Kali Linux 2021.4–2026.1, Rocky Linux 9, AlmaLinux 9.7, CentOS Stream 9 και αρκετές εκδόσεις SUSE για επιχειρήσεις. Ο ερευνητής επισημαίνει ότι διάφορες εκδόσεις Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux και Amazon Linux ενδέχεται επίσης να είναι ευάλωτες εφόσον είναι εγκατεστημένο το cifs-utils.

Εκδόσεις όπου οι προεπιλεγμένες ρυθμίσεις SELinux/AppArmor αποτρέπουν την εκμετάλλευση του CIFSwitch περιλαμβάνουν: Ubuntu 26.04, Fedora 40–44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 και openSUSE Leap 16. Η ανάθεση CVE ήταν ακόμα εκκρεμής κατά τη στιγμή της δημοσίευσης.

Προϋποθέσεις εκμετάλλευσης

Ο Manizada τονίζει ότι η ευπάθεια είναι «μη καθολική» και η εκμετάλλευσή της εξαρτάται από πολλούς παράγοντες: ευάλωτη έκδοση πυρήνα, ευάλωτη έκδοση cifs-utils, διαθεσιμότητα χώρων ονομάτων χρήστη (user namespaces) χωρίς δικαιώματα, και πολιτικές SELinux/AppArmor που δεν αποκλείουν το μονοπάτι επίθεσης. Το γεγονός ότι το cifs-utils δεν είναι εγκατεστημένο εξ ορισμού σε όλες τις διανομές προσφέρει κάποια ανακούφιση, αλλά η ευρεία χρήση του σε περιβάλλοντα επιφάνειας εργασίας, εικονικές μηχανές cloud και containers δημιουργεί εκτεταμένη επιφάνεια επίθεσης.

Τέταρτη κλιμάκωση δικαιωμάτων σε Linux μέσα σε λίγες εβδομάδες

Η ευπάθεια είναι ανησυχητική και ως τάση: αποτελεί την τέταρτη σοβαρή ευπάθεια κλιμάκωσης δικαιωμάτων στον πυρήνα Linux που απαιτεί άμεση δράση μέσα σε λίγες εβδομάδες, μετά τις πρόσφατες «Copy Fail», «Dirty Frag» και «Fragnesia».

Ποια μέτρα πρέπει να ληφθούν

Η επιδιόρθωση από την πλευρά του πυρήνα είναι δημόσια και προγραμματισμένη για σταθερή κυκλοφορία — απορρίπτει περιγραφές cifs.spnego που προέρχονται από τον χώρο χρήστη, επαληθεύοντας ότι μόνο το CIFS μπορεί να τις δημιουργήσει μέσω των