Dvadeset godina stara Linux ranjivost omogućava pristup sa root pravima
Otkrivena 19 godina stara Linux kernel ranjivost CIFSwitch omogućava nisko-privilegiranim korisnicima da dobiju root pristup sistemu.
Šta se desilo?
Otkrivena je kritična ranjivost u Linux kernelu koja je ostala neotkrivena tokom 19 godina. Nazvana CIFSwitch, ova ranjivost pogađa CIFS podsistem kernela i omogućava korisnicima sa ograničenim pravima da dobiju root pristup sistemu. Problem leži u nedostatku provere porekla zahteva pri autentifikaciji mrežnih delova, što napadačima daje mogućnost da direktno pozovu request_key funkciju i unose svoje izmenjene parametre.
Koga pogađa?
Uglavnom korisnici i institucije koje koriste Linux distribucije sa instaliranim cifs-utils paketom. Najugroženije su Linux Mint, CentOS, Rocky Linux, Kali Linux, AlmaLinux i SLES SAP distribucije koje imaju cifs-utils podrazumevano instaliran. Neke distribucije poput Ubuntu, Fedora, Oracle Linux i openSUSE su zaštićene podrazumevanim sigurnosnim merama. Amazon Linux 2 KVM i određene starije verzije Kali Linux nisu pogođene.
Kako se zaštititi?
- Odmah ažurirajte Linux distribuciju na najnoviju verziju koja sadrži ispravku za CIFSwitch
- Proverite da li je cifs-utils instaliran na vašem sistemu i ažurirajte ga na najnoviju verziju
- Ograničite pristup CIFS montažama na samo autoritativne servere
- Monitorujte logove za neobične request_key pozive i pokušaje elevacije privilegija
- Razmotrite deaktivaciju CIFS-a ako nije neophodan za vašu infrastrukturu
Tehnički detalji
Ranjivost se nalazi u Linux kernel CIFS podsistemu i njegovom cifs-utils userspace helper-u. Během autentifikacije montaže, kernel šalje request_key poziv za cifs.spnego ključ. Napadač može direktno pozvati request_key funkciju i dostaviti izmenjene parametre ključa koji sadrže UID, PID, cache kredencijala i namespace. Kernel ne proverava da li zahtev dolazi od legitimnog CIFS podsistema, što omogućava napadaču pristup. Pošto se cifs.upcall izvršava sa root pravima, helper se prebacuje u namespace specifikovan napadačevim parametrima. Dodatno, pre nego što se privilegije opadnu, helper izvršava lookup naloga kroz NSS mehanizam, što napadačima daje mogućnost učitavanja malignog NSS modula sa root pravima.
Preporuka Sajber Radara
Preporučujemo da svi korisnici Linux sistema sa instaliranim cifs-utils paketom odmah primene dostupne sigurnosne zakrpe. Ova 19 godina stara ranjivost predstavlja ozbiljnu pretnju, a proizvoďači Linux distribucija su već izdali ispravke tokom prethodnog meseca.