Vulnerabilidade de Escalação de Privilégios de 19 Anos Descoberta no Kernel Linux: CIFSwitch
Uma falha de segurança com quase duas décadas de existência, denominada CIFSwitch, foi identificada no cliente CIFS do kernel Linux. A vulnerabilidade permite que um usuário local com privilégios mínimos obtenha controle total do sistema.
MundiX News·03 de junho de 2026·5 min de leitura·👁 5 views
Uma nova vulnerabilidade de escalação de privilégios foi descoberta no kernel Linux, batizada de CIFSwitch. Com uma existência estimada em 19 anos, essa falha permite que um usuário local com direitos mínimos obtenha controle administrativo completo sobre o sistema.
A vulnerabilidade está intrinsecamente ligada ao cliente CIFS (Common Internet File System) do kernel Linux, utilizado para interagir com compartilhamentos de rede SMB, e ao pacote cifs-utils. Ao se conectar a um recurso de rede com autenticação Kerberos, o kernel delega parte do processamento para um utilitário auxiliar chamado cifs.upcall, que é executado com privilégios de root. É neste mecanismo que reside a falha.
Conforme explicado por Asim Viladi Oglu Manizada, engenheiro da SpaceX e descobridor da falha, o cliente CIFS do kernel Linux falha em verificar se a solicitação para obter a chave cifs.spnego foi genuinamente criada pelo próprio cliente CIFS. Isso abre a porta para que um usuário sem privilégios crie uma solicitação forjada e inicie a cadeia de autenticação padrão em nome do sistema. Posteriormente, o cifs.upcall, operando com privilégios de root e confiando nos dados recebidos, pode ser manipulado. Ao alterar esses parâmetros, um atacante pode forçar o cifs.upcall a mudar para um namespace sob seu controle. Antes de renunciar aos privilégios elevados, o utilitário executa uma solicitação NSS e carrega um módulo NSS preparado pelo atacante, concedendo ao invasor a capacidade de executar código arbitrário como root.
De acordo com o especialista, o bug foi introduzido no código em 2007. No entanto, sua exploração não é universal e depende de uma combinação de fatores, incluindo a versão do kernel, a versão do cifs-utils, o suporte a namespaces de usuário e as configurações de SELinux ou AppArmor.
As distribuições consideradas vulneráveis na configuração padrão incluem Linux Mint 21.3 e 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux (versões 2021.4 a 2026.1) e SLES 15 SP7. Além disso, a falha pode representar uma ameaça para certas versões do Ubuntu, Debian, Pop!_OS, Oracle Linux, Amazon Linux e openSUSE, caso o pacote cifs-utils esteja instalado.
Por outro lado, em muitas distribuições modernas, as políticas de segurança já bloqueiam a exploração dessa vulnerabilidade. Exemplos incluem Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, AlmaLinux 10, SLES 16 e openSUSE Leap 16. Vale notar que Amazon Linux 2 e versões mais antigas do Kali Linux não são afetados, pois suas versões do cifs-utils não possuem a funcionalidade necessária.
Os desenvolvedores já prepararam um patch que adiciona a verificação de origem para as solicitações cifs.spnego. A correção foi integrada à linha principal de desenvolvimento do kernel Linux, mas a disponibilidade em versões específicas de distribuições pode variar. Manizada também disponibilizou um proof-of-concept exploit, destinado principalmente a testar a eficácia dos patches e das medidas de segurança.
Como medidas de mitigação temporária, o especialista recomenda desativar o módulo CIFS se não estiver em uso, remover o cifs-utils se não for necessário e proibir a criação de namespaces de usuário por usuários não privilegiados. A vulnerabilidade CIFSwitch se junta a uma lista crescente de falhas de escalação de privilégios no Linux descobertas recentemente, como CopyFail, Dirty Frag, Fragnesia, DirtyDecrypt e PinTheft.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Uma nova vulnerabilidade de escalação de privilégios foi descoberta no kernel Linux, batizada de CIFSwitch. Com uma existência estimada em 19 anos, essa falha permite que um usuário local com direitos mínimos obtenha controle administrativo completo sobre o sistema.
A vulnerabilidade está intrinsecamente ligada ao cliente CIFS (Common Internet File System) do kernel Linux, utilizado para interagir com compartilhamentos de rede SMB, e ao pacote cifs-utils. Ao se conectar a um recurso de rede com autenticação Kerberos, o kernel delega parte do processamento para um utilitário auxiliar chamado cifs.upcall, que é executado com privilégios de root. É neste mecanismo que reside a falha.
Conforme explicado por Asim Viladi Oglu Manizada, engenheiro da SpaceX e descobridor da falha, o cliente CIFS do kernel Linux falha em verificar se a solicitação para obter a chave cifs.spnego foi genuinamente criada pelo próprio cliente CIFS. Isso abre a porta para que um usuário sem privilégios crie uma solicitação forjada e inicie a cadeia de autenticação padrão em nome do sistema. Posteriormente, o cifs.upcall, operando com privilégios de root e confiando nos dados recebidos, pode ser manipulado. Ao alterar esses parâmetros, um atacante pode forçar o cifs.upcall a mudar para um namespace sob seu controle. Antes de renunciar aos privilégios elevados, o utilitário executa uma solicitação NSS e carrega um módulo NSS preparado pelo atacante, concedendo ao invasor a capacidade de executar código arbitrário como root.
De acordo com o especialista, o bug foi introduzido no código em 2007. No entanto, sua exploração não é universal e depende de uma combinação de fatores, incluindo a versão do kernel, a versão do cifs-utils, o suporte a namespaces de usuário e as configurações de SELinux ou AppArmor.
As distribuições consideradas vulneráveis na configuração padrão incluem Linux Mint 21.3 e 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux (versões 2021.4 a 2026.1) e SLES 15 SP7. Além disso, a falha pode representar uma ameaça para certas versões do Ubuntu, Debian, Pop!_OS, Oracle Linux, Amazon Linux e openSUSE, caso o pacote cifs-utils esteja instalado.
Por outro lado, em muitas distribuições modernas, as políticas de segurança já bloqueiam a exploração dessa vulnerabilidade. Exemplos incluem Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, AlmaLinux 10, SLES 16 e openSUSE Leap 16. Vale notar que Amazon Linux 2 e versões mais antigas do Kali Linux não são afetados, pois suas versões do cifs-utils não possuem a funcionalidade necessária.
Os desenvolvedores já prepararam um patch que adiciona a verificação de origem para as solicitações cifs.spnego. A correção foi integrada à linha principal de desenvolvimento do kernel Linux, mas a disponibilidade em versões específicas de distribuições pode variar. Manizada também disponibilizou um proof-of-concept exploit, destinado principalmente a testar a eficácia dos patches e das medidas de segurança.
Como medidas de mitigação temporária, o especialista recomenda desativar o módulo CIFS se não estiver em uso, remover o cifs-utils se não for necessário e proibir a criação de namespaces de usuário por usuários não privilegiados. A vulnerabilidade CIFSwitch se junta a uma lista crescente de falhas de escalação de privilégios no Linux descobertas recentemente, como CopyFail, Dirty Frag, Fragnesia, DirtyDecrypt e PinTheft.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
