Cacat CIFSwitch Linux baru memberikan root pada banyak distribusi

Kerentanan eskalasi hak istimewa lokal yang baru ditemukan yang dijuluki ‘CIFSwitch’ di kernel Linux dapat memungkinkan penyerang memalsukan deskripsi kunci otentikasi CIFS, menyalahgunakan mekanisme permintaan kunci kernel, dan mendapatkan hak akses root.

Masalah ini berdampak pada beberapa distribusi Linux yang mengirimkan kombinasi kernel CIFS dan cifs-utils yang rentan (versi 6.14 dan lebih tinggi, meskipun beberapa varian lama juga terpengaruh).

CIFS (Common Internet File System) adalah protokol jaringan yang memungkinkan akses ke file, folder, dan perangkat melalui jaringan lokal. Linux menggunakannya untuk memasang, membaca, dan menulis data dari sistem jarak jauh.

Jika berbagi jaringan CIFS menggunakan Kerberos untuk otentikasi, kernel Linux meminta program pembantu di ruang pengguna untuk melakukan otentikasi, dengan kumpulan alat ruang pengguna cifs-utils berfungsi sebagai perantara.

“Kernel meminta kunci tipe cifs.spnego, dan konfigurasi keyutils/request-key normal menjalankan cifs.upcall sebagai root untuk mengambil atau membangun materi Kerberos/SPNEGO,” jelas Asim Viladi Oglu Manizada, insinyur keamanan SpaceX yang menemukan dan memberi nama kerentanan eskalasi hak istimewa CIFSwitch di Linux.

Peneliti mengatakan bahwa masalahnya adalah subsistem CIFS kernel Linux gagal memverifikasi bahwa permintaan kunci cifs.spnego berasal dari klien CIFS kernel.

Akibatnya, pengguna yang tidak memiliki hak istimewa dapat membuat permintaan cifs.spnego palsu dan memicu alur kerja otentikasi normal.

Permintaan kunci cifs.spnego digunakan oleh subsistem keyring Linux untuk mendapatkan data autentikasi yang diperlukan oleh klien CIFS/SMB saat menyambung ke jaringan berbagi menggunakan autentikasi Kerberos/SPNEGO.

Cacat ini memungkinkan helper cifs.upcall dengan hak istimewa root untuk mempercayai bidang yang dikontrol penyerang yang diasumsikan dihasilkan oleh kernel.

Dengan menyalahgunakan kolom ini untuk memaksa peralihan namespace dan kemudian memicu pencarian Name Service Switch (NSS) sebelum hak istimewa dihilangkan, penyerang lokal dapat memuat modul NSS yang berbahaya dan mencapai eksekusi kode root.

Manisada telah menerbitkan secara ekstensif laporan teknis menjelaskan penyebab masalah dan bagaimana masalah tersebut dapat dimanfaatkan untuk mendapatkan hak akses root.

Dampak, perbaikan, dan eksploitasi

Manizada mengatakan bahwa CIFSwitch adalah diperkenalkan 19 tahun yang lalupada tahun 2007. Ia menambahkan bahwa ini bersifat “non-universal” dan pemanfaatannya bergantung pada beberapa faktor, seperti versi kernel yang rentan.

Prasyarat lainnya termasuk versi cifs-utils yang rentan, ketersediaan namespace pengguna, dan kebijakan SELinux/AppArmor yang tidak memblokir serangan.

Beberapa distribusi yang dikonfirmasi Manizada rentan dengan konfigurasi defaultnya adalah:

• Linux Mint 21.3 / 22.3
• Aliran CentOS 9
• Rocky Linux 9
• AlmaLinux 9
• Kali Linux 2021.4–2026.1
• SLES 15 SP7

Peneliti mencatat bahwa berbagai versi Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux, dan Amazon Linux mungkin juga rentan jika ‘cifs-utils’ diinstal.

Namun, ada juga versi seperti Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10, dan openSUSE Leap 16, di mana pengaturan default SELinux/AppArmor mencegah eksploitasi CIFSwitch.

Selain itu, Amazon Linux 2 dan Kali Linux 2019.4 dan 2020.4 tidak terpengaruh sama sekali, karena versi cifs-utilsnya tidak memiliki fungsionalitas namespace-switch.

CIFSwitch telah diperbaiki oleh patch kernel yang menambahkan validasi asal permintaan cifs.spnego (hulu melakukan 3da1fdf), tetapi versi kernel yang mengirimkan patch tersebut berbeda-beda di setiap distribusi.

Peneliti merekomendasikan agar pengguna menonaktifkan atau memasukkan modul CIFS ke dalam daftar hitam jika tidak digunakan, menghapus paket cifs-utils jika tidak diperlukan, dan menonaktifkan namespace pengguna yang tidak memiliki hak istimewa.

Manizada menerbitkan bukti konsep (PoC) eksploitasi untuk CIFSwitchyang dapat membantu organisasi memvalidasi efektivitas patch dan mitigasi yang diterapkan.

CIFSwitch adalah yang terbaru dari serangkaian kelemahan peningkatan hak istimewa yang berdampak pada sistem Linux yang baru-baru ini diungkapkan, termasuk ‘Salin Gagal,’ ‘Pecahan Kotor,’ ‘Fragnesia,’ ‘Dekripsi Kotor,’ Dan ‘Pencurian Pin.’