CIFSwitch : LPE root dans le noyau Linux, présente depuis 2007

Une faille vieille de 19 ans dans le noyau Linux exposée avec PoC public

Le 28 mai 2026, Asim Viladi Oglu Manizada, ingénieur sécurité chez SpaceX, a publié une divulgation technique complète accompagnée d'un proof-of-concept (PoC) fonctionnel pour une vulnérabilité qu'il a baptisée CIFSwitch. Cette faille de type Local Privilege Escalation (LPE) affecte le sous-système CIFS (Common Internet File System) du noyau Linux et permet à n'importe quel utilisateur local non privilégié d'obtenir les droits root sur les systèmes vulnérables en une seule commande. La particularité frappante : la vulnérabilité est présente dans le code du noyau depuis 2007, soit 19 ans d'exposition silencieuse traversant des milliers de commits, revues de code et audits de sécurité.

Le mécanisme d'exploitation repose sur une défaillance de validation dans la gestion de l'authentification Kerberos par le sous-système CIFS. Lorsqu'un partage réseau CIFS utilise Kerberos pour l'authentification, le noyau émet une requête de type cifs.spnego via le sous-système keyring (anneau de clés du noyau), ce qui déclenche l'invocation du helper cifs.upcall — un processus s'exécutant avec les droits root — pour effectuer la négociation SPNEGO/Kerberos. Le problème critique : le noyau ne vérifie pas que ces requêtes de clés cifs.spnego proviennent effectivement du client CIFS du noyau lui-même.

Un attaquant local non privilégié peut donc forger une requête cifs.spnego avec des champs qu'il contrôle entièrement. Le helper cifs.upcall, s'exécutant en root, fait implicitement confiance à ces champs car il suppose qu'ils ont été générés par le noyau. L'attaquant exploite cette confiance aveugle pour forcer un changement d'espace de noms (namespace switch), puis déclenche une résolution NSS (Name Service Switch) avant que les privilèges root ne soient abandonnés. En chargeant un module NSS malveillant via cette résolution, l'attaquant obtient une exécution de code arbitraire en tant que root — une chaîne décrite par Manizada comme entièrement fiable et sans condition de race.

L'absence de condition de race constitue une propriété rare et dangereuse pour une LPE Linux. La grande majorité des exploits de privilege escalation noyau nécessitent un timing précis ou des tentatives multiples pour déclencher une fenêtre de race condition exploitable. CIFSwitch élimine cette contrainte : l'exploitation réussit à chaque tentative sur un système vulnérable, ce qui en fait un outil de post-exploitation d'une fiabilité exceptionnelle pour les attaquants disposant d'un accès initial à faibles privilèges.

Les distributions confirmées vulnérables dans leur configuration par défaut incluent : Linux Mint 21.3 et 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux de la version 2021.4 jusqu'à 2026.1, et SUSE Linux Enterprise Server 15 SP7. La vulnérabilité n'est cependant pas universelle : son exploitabilité dépend d'une combinaison spécifique entre la configuration de la distribution et la présence du paquet cifs-utils installé. Les systèmes n'ayant jamais monté de partages CIFS et où cifs-utils n'est pas présent ne sont pas exposés dans les scénarios démontrés par le chercheur.

Ubuntu, Fedora et Debian n'apparaissent pas dans la liste des distributions confirmées vulnérables dans leur configuration standard, selon les analyses publiées par Threat-Modeling.com et TuxCare. Red Hat Enterprise Linux 9 se trouve dans une zone grise : les équipes sécurité Red Hat analysent l'exposition dans les configurations clients typiques. La University of Wisconsin-Madison a publié une annonce de cybersécurité recommandant à ses équipes d'appliquer les patches en priorité sur toutes les machines exécutant cifs-utils, illustrant la portée institutionnelle de la réponse à cette vulnérabilité.

La réponse au niveau du noyau a été rapide : un patch ajoutant la validation des origines des requêtes cifs.spnego a été mergé dans le noyau Linux upstream sous le commit 3da1fdf. Les versions de noyau intégrant ce correctif varient selon les distributions — chaque éditeur publie ses propres advisories de sécurité avec les numéros précis de noyaux corrigés. Des mises à jour sont disponibles ou en cours de préparation pour Rocky Linux 9, AlmaLinux 9 et SUSE SLES 15 SP7.

La publication simultanée d'un PoC fonctionnel sur GitHub a suscité des débats dans la communauté sécurité. Si cette approche permet aux administrateurs de tester leur exposition réelle et de valider le déploiement des patches, elle fournit également aux attaquants un exploit clé en main. Compte tenu de la facilité d'exploitation et de l'absence de race condition, le risque d'exploitation active dans les environnements d'entreprise utilisant des serveurs Samba ou des NAS intégrant CIFS est considéré comme élevé dans les semaines suivant la divulgation, selon les analyses de Cryptika Cybersecurity et PBX Science.

Il convient de rappeler le contexte historique de cette découverte. Asim Manizada a affirmé avoir identifié la vulnérabilité lors d'un audit interne des surfaces d'attaque locales sur les systèmes de développement de SpaceX. La présentation complète de la chaîne d'exploitation, incluant les détails du namespace switch et de l'abus du mécanisme NSS, a été saluée par la communauté de recherche comme un travail de décomposition technique de haute qualité, illustrant comment une analyse systématique des interfaces kernel-userspace privilégiées peut révéler des vulnérabilités vieilles de plusieurs décennies.

Une LPE sans race condition : pourquoi la sévérité dépasse le score CVSS

Les vulnérabilités de type Local Privilege Escalation dans le noyau Linux ne manquent pas dans l'historique de la sécurité système, mais CIFSwitch se distingue sur plusieurs points qui justifient une attention particulière de la part des équipes défensives. La fiabilité d'exécution — une exploitation qui fonctionne à chaque tentative sans timing précis — change fondamentalement le profil de risque opérationnel. Dans les phases de post-exploitation d'une attaque sophistiquée, la capacité à garantir l'élévation de privilèges en une seule commande, sans risque d'échec ou de détection liée aux tentatives répétées, est une propriété que les groupes APT valorisent considérablement.

La durée d'exposition de 19 ans soulève des questions légitimes sur les processus d'audit de code dans les projets open source de grande envergure. Le sous-système CIFS du noyau Linux est un composant actif, régulièrement maintenu, qui a reçu de nombreuses contributions depuis son introduction en 2007. Pourtant, cette défaillance de validation fondamentale dans l'interface kernel-userspace est restée inaperçue pendant deux décennies, traversant d'innombrables cycles de revue de code et audits de sécurité. Cela soulève des interrogations légitimes sur la couverture des audits focalisés sur les interfaces privilégiées dans les sous-systèmes de protocoles réseau.

En termes d'impact opérationnel, CIFSwitch représente une menace directe pour les déploiements d'entreprise les plus courants : serveurs de fichiers partagés, environnements de développement mutualisés, systèmes d'intégration continue et machines de build où plusieurs utilisateurs ou services s'exécutent avec des privilèges réduits. Dans ces contextes, la capacité à passer de l'exécution en tant qu'utilisateur de service à root en une commande annule de nombreuses mesures d'isolation et de segmentation, notamment les profils SELinux et AppArmor qui ne bloquent pas nécessairement l'exploitation de cette chaîne spécifique.

Le fait que la vulnérabilité ne soit pas exploitable dans toutes les configurations constitue une nuance importante pour la gestion des risques. Les systèmes cloud-native utilisant des conteneurs avec des noyaux configurés pour minimiser la surface d'attaque, ou les environnements où cifs-utils n'est simplement pas installé, ne sont pas exposés. Cela permet des décisions de priorisation basées sur l'inventaire réel des configurations — mais exige que les équipes disposent d'une connaissance précise de leurs configurations noyau déployées, ce qui reste un défi dans les grands parcs informatiques hétérogènes.

Ce qu'il faut retenir

• Identifiez immédiatement les systèmes de votre parc où cifs-utils est installé et où des utilisateurs non privilégiés ont un accès local — ce sont les cibles prioritaires pour l'application du patch noyau.
• Consultez les advisories de sécurité de votre distribution (Rocky Linux, AlmaLinux, SUSE, etc.) pour identifier la version de noyau corrigée incluant le commit 3da1fdf et planifiez le redémarrage des systèmes concernés.
• En mitigation immédiate, désinstallez cifs-utils sur les systèmes qui ne montent pas activement de partages CIFS — c'est la mesure la plus rapide et la plus efficace en attendant le patch noyau.