Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La vulnerabilità CIFSwitch nel kernel Linux consente agli utenti non privilegiati di falsificare le descrizioni delle chiavi di autenticazione CIFS, abusando del meccanismo di richiesta delle chiavi del kernel per ottenere privilegi root. Il problema è stato introdotto nel 2007 e colpisce diverse distribuzioni Linux che utilizzano combinazioni vulnerabili del kernel CIFS e cifs-utils.
Una nuova vulnerabilità di privilege escalation denominata “CIFSwitch” è stata scoperta recentemente nel kernel Linux e potrebbe consentire agli aggressori di falsificare le descrizioni delle chiavi di autenticazione CIFS, abusare del meccanismo di richiesta delle chiavi del kernel e ottenere root privilegi.
Il problema colpisce più distribuzioni Linux che forniscono combinazioni vulnerabili del kernel CIFS e cifs-utils (versioni 6.14 e successive, sebbene siano interessate anche alcune varianti precedenti).
CIFS (Common Internet File System) è un protocollo di rete che consente l’accesso a file, cartelle e dispositivi su una rete locale. Linux lo utilizza per montare, leggere e scrivere dati da sistemi remoti.
Asim Viladi Oglu Manizada, ingegnere della sicurezza di SpaceX che ha scoperto e denominato la vulnerabilità afferma che CIFSwitch è stata introdotto 19 anni fa, nel 2007. Aggiunge che è “non è universale” e il suo sfruttamento dipende da diversi fattori, come una versione del kernel vulnerabile.
Altri prerequisiti includono una versione cifs-utils vulnerabile, la disponibilità degli spazi dei nomi degli utenti e le policy SELinux/AppArmor che non bloccano l’attacco. Alcune distribuzioni che Manizada conferma come vulnerabili con le loro configurazioni predefinite sono: Linux Mint 21.3 / 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux 2021.4–2026.1, SLES 15 SP7.
Se una condivisione di rete CIFS utilizza Kerberos per l’autenticazione, il kernel Linux chiede a un programma di supporto nello spazio utente di eseguire l’autenticazione, con strumenti dello spazio utente che funge da intermediario.
“Il kernel richiede una chiave di tipo cifs.spnego e la normale configurazione keyutils/request-key esegue cifs.upcall come root per recuperare o creare il file Kerberos/SPNEGO,” spiega Manizada.
Il ricercatore afferma che il problema consiste nel sottosistema CIFS del kernel Linux che non riesce a verificare che le richieste di chiave cifs.spnego provengano dal client CIFS del kernel.
Di conseguenza, un utente non privilegiato può creare un file contraffatto cifs.spnego e attiva il normale flusso di lavoro di autenticazione.
Una richiesta di chiave cifs.spnego viene utilizzata dal sottosistema keyring Linux per ottenere i dati di autenticazione necessari al client CIFS/SMB quando si connette a una condivisione di rete utilizzando l’autenticazione Kerberos/SPNEGO.
Il difetto consente all’helper cifs.upcall con privilegi root di fidarsi dei campi controllati dall’aggressore che presuppone siano stati generati dal kernel.
Abusando di questi campi per forzare un cambio di spazio dei nomi e quindi attivare una ricerca Name Service Switch (NSS) prima che i privilegi vengano eliminati, un utente malintenzionato locale può caricare un modulo NSS dannoso e ottenere l’esecuzione del codice root.
Manizada ha pubblicato un ampio rapporto tecnico che spiega la causa del problema e come può essere sfruttato per ottenere i privilegi root.
Il ricercatore ha notato che anche varie versioni di Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux e Amazon Linux potrebbero essere vulnerabili se è installato “cifs-utils”.
Tuttavia, esistono anche versioni come Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 e openSUSE Leap 16, in cui le impostazioni predefinite di SELinux/AppArmor impediscono lo sfruttamento di CIFSwitch.
Il ricercatore consiglia agli utenti di disabilitare o inserire nella lista nera il modulo CIFS se inutilizzato, rimuovere il pacchetto cifs-utils se non necessari e disabilitare gli spazi dei nomi degli utenti non privilegiati.
Manizada ha pubblicato un exploit proof-of-concept (PoC) per CIFSwitch, che può aiutare le organizzazioni a convalidare l’efficacia delle patch e delle mitigazioni applicate.
CIFSwitch è l’ultimo di una serie di difetti di elevazione dei privilegi che influiscono sui sistemi Linux recentemente.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]