Cauchemar en puissance pour les administrateurs système : une vulnérabilité d’escalade de privilèges locale (LPE) capable de briser les barrières de sécurité des distributions Linux les plus populaires du marché. Baptisée CIFSwitch, cette faille logique critique permet à n’importe quel utilisateur local n’ayant aucun privilège de s’emparer instantanément des droits de l’administrateur suprême (root). On vous explique ce qu’il faut faire.
Révélée publiquement à la suite de la fin d’un embargo coordonné, l’intégralité des détails techniques ainsi qu’un exploit de démonstration (PoC) ont été mis en ligne par le chercheur en sécurité Asim Manizada. L’affaire fait grand bruit dans la communauté, car si une partie du code vulnérable a été introduite récemment, la racine du bug sommeillait sagement dans le code source du noyau Linux depuis près de 19 ans.
Comment une simple requête de clé CIFS piège le noyau Linux
Le cœur de la vulnérabilité réside dans une absence flagrante de vérification au sein du client de partage de fichiers CIFS du noyau Linux. Plus précisément, le type de clé cifs.spnego du noyau ne disposait d’aucun mécanisme de contrôle de description (.vet_description). En clair, le système omettait systématiquement de vérifier si une demande de clé provenait bel et et bien du sous-système CIFS légitime ou d’un programme malveillant exécuté en arrière-plan.
Comme le démontre la documentation de l’exploit sur CIFSwitch Local Root Exploit de SecurityOnline, un attaquant local peut envoyer une requête forgée contenant des identifiants (PID, UID) totalement contrôlés par ses soins. Cette manipulation force le système à lancer l’utilitaire d’assistance cifs.upcall avec les privilèges Root.
Le programme bascule alors aveuglément dans l’espace de noms de l’attaquant et commet l’erreur fatale de charger des bibliothèques logicielles (via une recherche NSS) directement depuis le point de montage du pirate. Il suffit alors d’y placer un module malveillant pour que ce dernier s’exécute avec les pleins pouvoirs sur la machine cible.
Êtes-vous en danger ?
L’ampleur de CIFSwitch est d’autant plus inquiétante que la faille est exploitable dans la configuration par défaut de très nombreux systèmes d’exploitation, tandis que d’autres dépendent de l’installation manuelle du paquet cifs-utils (introduit en version défaillante 6.14).
Statut des principales distributions face à CIFSwitch
| Système d’exploitation | Statut par défaut | Condition de vulnérabilité |
| Linux Mint Cinnamon (21.3 / 22.3) | 🔴 Vulnérable | Exploitable directement à l’installation. |
| CentOS Stream 9 / Rocky Linux 9 | 🔴 Vulnérable | Exploitable directement à l’installation. |
| AlmaLinux 9.7 | 🔴 Vulnérable | Exploitable directement à l’installation. |
| Kali Linux & SLES 15 SP7 | 🔴 Vulnérable | Exploitable directement à l’installation. |
| Ubuntu, Debian, Pop!_OS | 🟡 Conditionnel | Devient vulnérable si le paquet cifs-utils est installé manuellement. |
| Fedora (40 à 44) & CentOS 10 | 🟢 Protégé | Les politiques SELinux modernes bloquent l’exploitation par défaut. |
Les détails des échanges et l’analyse forensique complète de la faille sont disponibles sur le thread officiel du protocole OSS-Sec sur Seclists.
Que faire en attendant le patch officiel
Un correctif côté noyau est actuellement en cours de déploiement pour intégrer le hook de sécurité manquant et rejeter les requêtes frauduleuses, mais un numéro CVE officiel est encore en attente d’attribution par les autorités de régulation.
En attendant que votre gestionnaire de paquets favori ne vous propose la mise à jour de sécurité, les administrateurs système et les équipes de production peuvent appliquer plusieurs contre-mesures immédiates pour immuniser leurs serveurs :
Bloquer le protocole : Empêcher purement et simplement le chargement du module CIFS au sein du noyau si votre infrastructure ne l’utilise pas.
Nettoyer les paquets : Supprimer purement et simplement l’utilitaire
cifs-utilsdes postes de travail et des serveurs où sa présence n’est pas indispensable.Modifier la configuration : Remplacer ou désactiver la règle
request-keyassociée àcifs.spnegodans les fichiers de configuration système.Restreindre les privilèges : Désactiver les espaces de noms utilisateur non privilégiés (unprivileged user namespaces) pour bloquer le mécanisme d’isolation détourné par l’exploit.
