Linux CIFSwitch-Kernel-Schwachstelle ermöglicht Angreifern Root-Zugriff

Linux CIFSwitch Kernel Vulnerability Die Schwachstelle wurde mithilfe eines KI-gestützten, mehrstufigen Schlussfolgerungsansatzes entdeckt, der semantische Graphen sicherheitsrelevanter Objekte und Datenflüsse erstellt und durchläuft, wodurch subtile Logikfehler zu einem praktischen Exploit verknüpft werden können.

Die Warnung wurde nach Ablauf einer mit Linux-Distributionen abgestimmten Embargoperiode bekannt gegeben, und die Patches für den upstream-Kernel sind bereits verfügbar. CIFS/SMB ist ein weit verbreitetes Netzwerkdateisystemprotokoll Windows-Stil unter Linux. In dieser Architektur übernimmt der Kernel-CIFS-Client die Kernoperationen des Dateisystems.

Gleichzeitig wird die Kerberos/SPNEGO-Authentifizierung an einen root-berechtigten Hilfsprozess Userspace, cifs-upcall, der, delegiert.

Sicherheitslage und Risiko

Die Interaktion nutzt Linux-Keyrings: Der Kernel ruft request_key() für den CIFS-SPNEGO-Schlüssel auf und überreicht eine vertrauenswürdige Beschreibungss Zeichenfolge, die Parameter wie Server, UID, Credential-UID, PID und Namespace-Ziel codiert. Die /sbin/request-key-Richtlinie startet daraufhin cifs-upcall als root, um diese Anforderung zu verarbeiten.

Manizadras Forschung ergab, dass der Kernel nicht prüfte, ob die cifs-SPNEGO-Schlüsselbeschreibung tatsächlich vom CIFS-Subsystem stammte, bevor sie als vertrauenswürdig behandelt wurde. Diese Lücke ermöglicht es jedem unprivilegierten Prozess, die Funktion request_key("cifs.spnego",, …) direkt aufzurufen.

Da der Schlüsseltyp cifs, spnego lautet, wird die Standardregel für Request-Key weiterhin cifs. Upcall als root starten, auch wenn die Beschreibung vollständig vom Angreifer kontrolliert wird. Die Ausnutzungskette stützt sich auf zwei Elemente in dieser gefälschten Beschreibung: pid und upcall_target.

Technischer Hintergrund

Durch die Einstellung upcall_target=app und das Bereitstellen einer bösartigen pid zwingt der Angreifer cifs. Upcall dazu, in den Namespaces des vom Angreifer kontrollierten Prozesses zu wechseln, bevor er NSS-basierte Kontenabfragen durchführt und schließlich seine Privilegien aufgibt.

Innerhalb dieses vom Angreifer kontrollierten Mount-Namespace können eine bösartige nsswitch.conf und eine schädliche libnss_*.so.2-Datei platziert werden, sodass eine Code lädt und ausführt. PoC bösartige NSS-Modul einen Eintrag in /etc/sudoers.d, wodurch dem Angreifer effektiver root-Zugang gewährt wird.

Der zugrundeliegende Kernel-Fehler stammt aus dem Jahr 2007. Allerdings erfordert eine erfolgreiche Ausnutzung mehrere Voraussetzungen: ein verwundbares Kernel, eine kompatible Version (insbesondere 6.14+ oder ltere Builds mit nachgepatchten nderungen) sowie die Erstellung.

Sicherheitslage und Risiko

Linux-Sicherheitsmodul-Policies (LSM) wie SELinux oder AppArmor, die den Angriffsvektor nicht blockieren. Tests zeigen, dass viele Mainstream-Distributionen aus der Verpackung heraus angreifbar sind, sofern cifs-utils vorhanden ist. Gegensatz dazu sind andere Distributionen erst nach der Installation der Standard-LSM-Policies angreifbar.

Der upstream-Kernel-Fix fgt einen vet_description-Hook fr den cifs.SPNEGO-Schlsseltyp hinzu, sodass Beschreibungen nur dann akzeptiert werden, wenn die Anfrage unter dem internen spnego_cred des CIFS-Clients erfolgt, was unprivilegierten Userspace effektiv daran hindert, sich als Kernel auszugeben.

Zustzlich wird eine weitere Absicherung in cifs-utils empfohlen, damit cifs.Upcall Schlsselbeschreibungen nicht bedingungslos als vom Kernel stammend vertraut.

Sicherheitslage und Risiko

Asim Manizada hat das vollständige technische Dokument („CIFSwitch") und den Proof-of-Concept-Exploit auf GitHub veröffentlicht, Verteidiger, Maintainer und Incident-Responder bei der Überprüfung ßnahmen und Patch-Abdeckung zu unterstützen.

Administratoren sollten die rückportierten Kernel-Patches dringend einsetzen und Maßnahmen zur verteidigenden Tiefe Betracht ziehen, wie beispielsweise das Deaktivieren, das Entfernen ärfen der request-key-Regeln für cifs, spnego und die Einschränkung ist Security Editorin und Reporterin bei