Une vulnérabilité locale affectant le noyau Linux et les utilitaires associés au système de fichiers CIFS (Common Internet File System) a été rendue publique. Désignée sous le nom de CIFSwitch, elle permet à un attaquant déjà présent sur le système d'obtenir les privilèges root sur plusieurs distributions, sans être universelle. L'équipe de sécurité du noyau a intégré un correctif depuis plusieurs jours, et celui-ci est en attente de déploiement dans les branches stables. L'attribution d'un identifiant CVE est encore en cours.
Origine et mécanisme de la faille
La vulnérabilité repose sur une combinaison de bugs logiques entre le module CIFS du noyau et l'outil utilisateur cifs-utils, plus précisément le programme cifs.upcall. Ce dernier est exécuté avec les droits root via la configuration standard de request-key lorsque le noyau a besoin d'informations d'authentification Kerberos pour monter un partage CIFS. Le chercheur Asim Viladi Oglu Manizada a détaillé le processus : un attaquant peut appeler directement la syscall request_key() avec une description totalement fictive pour le type de clé cifs.spnego. Avant le correctif, le noyau n'effectuait aucune validation de l'origine de cette description, qui était normalement construite à partir d'informations internes fiables. Le démon request-key, voyant une clé de type cifs.spnego, déclenche alors l'exécution de cifs.upcall en tant que root. L'attaquant contrôle la description, notamment les champs pid et upcall_target, ce qui lui permet d'induire une confusion d'espace de nommage et d'exécuter l'outil dans un contexte inapproprié, menant à une élévation de privilèges vers root sur la machine hôte.
Distribution concernées et mitigation
La faille n'affecte pas toutes les distributions Linux de manière uniforme. Son exploitation effective dépend de la configuration du système, notamment de la présence de cifs-utils et des règles de request-key activées par défaut. Les distributions utilisant les configurations par défaut de cifs-utils sont les plus exposées. Les administrateurs sont invités à appliquer le correctif du noyau, identifié par le commit 3da1fdf4efbc490041eb4f836bf596201203f8f2 dans le dépôt de Linus Torvalds. En attendant son installation, il est possible de désactiver le service cifs.upcall ou de modifier les règles de request-key pour limiter les risques, bien que cela puisse entraver le montage de partages CIFS utilisant Kerberos.
Méthode de découverte originale
Cette vulnérabilité a été découverte via une approche novatrice combinant de grands modèles de langage (LLM) et un outil de navigation dans des graphes de connaissances. Le chercheur a utilisé une adaptation d'un système conçu pour améliorer le raisonnement multi-sauts des LLM. Plutôt que de se baser sur des graphes existants, les agents ont construit des graphes abstraits représentant les flux d'objets du noyau, les consommateurs privilégiés, les créateurs, et les dérives possibles entre les vérifications de sécurité. Cette méthode a permis d'identifier des enchaînements logiques non triviaux, aboutissant à la chaîne d'exploitation de CIFSwitch.
État actuel et recommandations
L'embargo coordonné avec la liste de diffusion linux-distros@ a pris fin le 27 mai 2026, permettant la divulgation publique. Les utilisateurs sont invités à mettre à jour leur noyau Linux vers une version incluant le correctif. Les systèmes n'utilisant pas le système de fichiers CIFS ou n'ayant pas cifs-utils installé ne sont pas vulnérables. La vulnérabilité nécessite un accès local au système, ce qui limite son utilisation à des attaquants ayant déjà pénétré la machine ou à des utilisateurs malveillants disposant d'un compte.
