Die Sicherheitslücke CIFSwitch tritt in der Common Internet File System (CIFS)-Implementierung des Linux-Kernels auf, einer Komponente, die für die Verwaltung von SMB-Netzwerkverbindungen essentiell ist. CIFS wird verwendet, um Netzwerkfreigaben zu mounten, Lese- und Schreibvorgänge durchzuführen sowie die SMB-Kommunikation mit Servern zu handhaben.
Die Verwundbarkeit besteht darin, dass das CIFS-Subsystem während der Authentifizierung einen sogenannten “request_key”-Aufruf für einen cifs.spnego-Schlüssel sendet. Der Kernel überprüft hierbei nicht, woher dieser Aufruf stammt oder wer die Schlüsselbeschreibung erstellt hat. Ein Angreifer kann diese Funktion direkt aufrufen und manipulierte Parameter eingeben, um die CIFS-Sicherheitsmechanismen zu umgehen.
Besonders kritisch ist, dass die cifs.upcall-Hilfsfunktion mit Root-Rechten ausgeführt wird. Durch die Manipulation der Schlüsselbeschreibung kann der Angreifer erzwingen, dass der Helper in die Namespaces einer beliebigen Prozess-ID wechselt und dem Angreifer damit Root-Zugriff gewährt. Zusätzlich kann der Angreifer vor der Privilegien-Reduzierung böswillige NSS-Module (Name Service Switch) laden und dadurch beliebigen Code mit Root-Rechten ausführen.
Betroffene Distributionen umfassen Linux Mint, CentOS, Rocky Linux, Kali Linux, AlmaLinux und SLES SAP – insbesondere wenn cifs-utils standardmäßig installiert ist. Einige Distributionen wie Ubuntu, Fedora und openSUSE haben Schutzmechanismen, die diesen Exploitpfad standardmäßig blockieren.
Major-Distributionen haben bereits Patches bereitgestellt. Sicherheitsforscher Asim Viladi Oglu Manizada hat Proof-of-Concept-Code veröffentlicht, um Organisationen bei der Validierung von Patches und Mitigationen zu unterstützen. Für deutsche Administratoren ist sofortige Priorisierung dieser Patches entscheidend, da die praktizierbare Exploit-Code öffentlich verfügbar ist.