Plusieurs distributions Linux exposées à la faille critique CIFSwitch selon Le Monde Informatique

Une faille vieille de 19 ans secoue le monde des distributions Linux. Baptisée CIFSwitch, elle permet à n’importe quel utilisateur d’obtenir les droits root en exploitant une faille du protocole CIFS. Malgré des correctifs déployés, plusieurs systèmes restent vulnérables si cifs-utils a été installé manuellement.

Cette vulnérabilité met en lumière une absence de vérification critique au cœur du noyau Linux. Parmi les distributions touchées, on retrouve des poids lourds tels que Rocky Linux, Kali Linux ou encore Linux Mint. Le problème ne se limite donc pas à un usage de niche mais concerne bien une « zone de confiance » que l’on pensait béton !

La mécanique derrière CIFSwitch est aussi simple qu’effrayante : elle exploite la gestion des clés dans le sous-système CIFS, ce qui aboutit à une élévation des privilèges sans coup férir. Un joli pied de nez à la rigueur dont Linux fait habituellement preuve.

Pourquoi CIFSwitch met en péril plusieurs distributions Linux populaires

On va pas tourner autour du pot : cette faille s’appuie sur le protocole CIFS en mode client, un système qui permet de monter des partages SMB dans Linux. Le paquet cifs-utils joue un rôle clé dans l’interface utilisateur pour ces montages, notamment quand Kerberos est de la partie. Si ce paquets est ajouté à la main, bingo, l’installation devient vulnérable.

Les admins systèmes qui pensent installer cifs-utils à la volée pour étendre les capacités réseau doivent donc ouvrir l’œil. Cette faille nommée CIFSwitch, ou CVE-2026-46243, ne date pas d’hier : elle traîne depuis 2007 !

Malgré la disponibilité de patchs depuis mai, le mal persiste dans des distributions comme Rocky Linux 9, AlmaLinux 9, CentOS Stream 9, et des variantes de SLES 15 ou Kali Linux 2026.1. Tant que cifs-utils est là en mode manuel, la porte est grande ouverte.

Une faille d’élévation de privilèges due à l’absence de vérifications dans le noyau Linux

Asim Viladi Oglu Manizada, un expert en sécurité de chez SpaceX, a levé le voile sur l’origine technique du problème. Le noyau Linux ne contrôle pas l’origine des requêtes liées à la clé cifs.spnego, ce qui laisse la porte ouverte aux appels frauduleux de la fonction request_key.

Le cœur du problème : un attaquant peut fournir ses propres champs de description, contournant ainsi les mécanismes de sécurité. En parallèle, il peut placer un faux fichier NSS ainsi qu’un module dans son espace de noms utilisateur pour charger du code malveillant en tant que root. Une vraie passoire !

Cette méthode exploite les interactions complexes entre le noyau et l’interface utilisateur fournie par cifs-utils, là où la confiance est mal placée. Le système d’authentification Kerberos est mis à mal par ce mauvais contrôle des objets clés.

Des correctifs distribués, mais une attention encore de mise

Les principales distributions ont réagi rapidement avec des mises à jour en mai. Sauf que ça ne suffit pas. Si vous êtes dans un environnement professionnel, ne vous laissez pas berner : une installation de cifs-utils manuelle signifie que le chemin pour l’exploit reste ouvert. Le combo SELinux ou AppArmor mal configuré en rajoute une couche de vulnérabilité.

Les distributions les plus touchées sont diverses, allant de Kali Linux (de 2021.4 à 2026.1) à Linux Mint 22.3 en passant par SLES 15 SP7 et Rocky Linux 9. Les entreprises qui s’appuient dessus doivent vérifier scrupuleusement leur posture de sécurité afin d’éviter une surprise qui pourrait leur coûter cher.

Bien sûr, Amazon Linux 2 KVM et quelques versions anciennes de Kali Linux sont épargnées. Mais ça ne suffit pas à faire oublier le danger latent dans les versions courantes abritant cifs-utils. La vigilance n’est pas un gadget, surtout quand il s’agit du socle de votre infrastructure.

Un exploit publié sous forme de PoC fait monter la pression

Un Proof of Concept (PoC) a été mis à disposition par les chercheurs pour valider l’exploit et tester les mesures d’atténuation. Il compile une fausse bibliothèque NSS, une entrée modifiée sudoers.d et un déclencheur qui active cifs.upcall. Tout est là pour montrer que la faille est réelle et fonctionnelle.

L’utilisation d’outils modernes basés sur des modèles de langage (LLM) et GraphWalk pour découvrir cette faille souligne que même un code vieux de presque deux décennies peut être révélé grâce à l’IA. Pas de quoi baisser la garde !

Pour les sysadmins qui se croyaient à l’abri, il est temps de reprendre le contrôle et d’auditer les installations de cifs-utils dans leurs environnements. Cette faille n’est pas qu’une histoire d’anciennes versions, c’est une leçon sur la profondeur requise d’une analyse de sécurité.

Source: www.lemondeinformatique.fr