🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma vulnerabilidade de escalonamento de privilégios local recém-descoberta chamada 'CIFSwitch' no kernel Linux pode permitir que invasores falsifiquem descrições de chaves de autenticação CIFS, abusem do mecanismo de solicitação de chave do kernel e obtenham privilégios de root.
O problema afeta várias distribuições Linux que fornecem combinações vulneráveis do kernel CIFS e cifs-utils (versões 6.14 e superiores, embora algumas variantes mais antigas também sejam afetadas).
CIFS (Common Internet File System) é um protocolo de rede que permite acesso a arquivos, pastas e dispositivos em uma rede local. O Linux o utiliza para montar, ler e gravar dados de sistemas remotos.
Se um compartilhamento de rede CIFS usar Kerberos para autenticação, o kernel do Linux solicitará que um programa auxiliar no espaço do usuário execute a autenticação, com a coleção cifs-utils de ferramentas do espaço do usuário servindo como intermediário.
“O kernel solicita uma chave do tipo cifs.spnego, e a configuração normal de keyutils/request-key executa cifs.upcall como root para buscar ou construir o material Kerberos/SPNEGO”, explica Asim Viladi Oglu Manizada, engenheiro de segurança da SpaceX que descobriu e nomeou a vulnerabilidade de escalonamento de privilégios CIFSwitch no Linux.
O pesquisador diz que o problema consiste na falha do subsistema CIFS do kernel Linux em verificar se as solicitações de chave cifs.spnego se originam do cliente CIFS do kernel.
Como resultado, um usuário sem privilégios pode criar uma solicitação cifs.spnego forjada e acionar o fluxo de trabalho de autenticação normal.
Uma solicitação de chave cifs.spnego é usada pelo subsistema de chaveiro do Linux para obter dados de autenticação necessários ao cliente CIFS/SMB ao conectar-se a um compartilhamento de rede usando a autenticação Kerberos/SPNEGO.
A falha permite que o auxiliar cifs.upcall com privilégios de root confie em campos controlados pelo invasor que ele assume terem sido gerados pelo kernel.
Ao abusar desses campos para forçar uma troca de namespace e, em seguida, acionar uma pesquisa de Name Service Switch (NSS) antes que os privilégios sejam eliminados, um invasor local pode carregar um módulo NSS malicioso e obter a execução do código raiz.
Manizada publicou um extenso relatório técnico explicando a causa do problema e como ele pode ser aproveitado para obter privilégios de root.
Impacto, correções e exploração
Manizada diz que o CIFSwitch foi introduzido há 19 anos, em 2007. Ele acrescenta que é “não universal” e que sua exploração depende de vários fatores, como uma versão vulnerável do kernel.
Outros pré-requisitos incluem uma versão vulnerável do cifs-utils, a disponibilidade de namespaces de usuário e políticas SELinux/AppArmor que não bloqueiam o ataque.
Algumas distribuições que Manizada confirma como vulneráveis com suas configurações padrão são:
Linux Mint 21.3/22.3
Fluxo CentOS 9
Rochoso Linux 9
AlmaLinux 9
KaliLinux 2021.4–2026.1
SLES 15 SP7
O pesquisador observou que várias versões do Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux e Amazon Linux também podem ser vulneráveis se o ‘cifs-utils’ estiver instalado.
No entanto, também existem versões como Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 e openSUSE Leap 16, onde as configurações padrão do SELinux/AppArmor impedem a exploração do CIFSwitch.
Além disso, Amazon Linux 2 e Kali Linux 2019.4 e 2020.4 não são afetados, pois suas versões cifs-utils não possuem a funcionalidade de troca de namespace.
O CIFSwitch foi corrigido por um patch de kernel que adiciona validação de origens de solicitação cifs.spnego (upstream commit 3da1fdf), mas as versões exatas do kernel que enviam esse patch variam de acordo com a distribuição.
O pesquisador recomenda que os usuários desabilitem ou coloquem na lista negra o módulo CIFS se não for utilizado, removam o pacote cifs-utils se desnecessário e desabilitem namespaces de usuários sem privilégios.
Manizada publicou uma exploração de prova de conceito (PoC) para CIFSwitch, que pode ajudar as organizações a validar a eficácia dos patches e mitigações aplicadas.
CIFSwitch é a mais recente de uma série de falhas de elevação de privilégios que afetam os sistemas Linux que foram divulgadas recentemente, incluindo ‘Copy Fail’, ‘Dirty Frag’, ‘Fragnesia’, ‘DirtyDecrypt’ e ‘PinTheft’.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
O problema afeta várias distribuições Linux que fornecem combinações vulneráveis do kernel CIFS e cifs-utils (versões 6.14 e superiores, embora algumas variantes mais antigas também sejam afetadas).
CIFS (Common Internet File System) é um protocolo de rede que permite acesso a arquivos, pastas e dispositivos em uma rede local. O Linux o utiliza para montar, ler e gravar dados de sistemas remotos.
Se um compartilhamento de rede CIFS usar Kerberos para autenticação, o kernel do Linux solicitará que um programa auxiliar no espaço do usuário execute a autenticação, com a coleção cifs-utils de ferramentas do espaço do usuário servindo como intermediário.
“O kernel solicita uma chave do tipo cifs.spnego, e a configuração normal de keyutils/request-key executa cifs.upcall como root para buscar ou construir o material Kerberos/SPNEGO”, explica Asim Viladi Oglu Manizada, engenheiro de segurança da SpaceX que descobriu e nomeou a vulnerabilidade de escalonamento de privilégios CIFSwitch no Linux.
O pesquisador diz que o problema consiste na falha do subsistema CIFS do kernel Linux em verificar se as solicitações de chave cifs.spnego se originam do cliente CIFS do kernel.
Como resultado, um usuário sem privilégios pode criar uma solicitação cifs.spnego forjada e acionar o fluxo de trabalho de autenticação normal.
Uma solicitação de chave cifs.spnego é usada pelo subsistema de chaveiro do Linux para obter dados de autenticação necessários ao cliente CIFS/SMB ao conectar-se a um compartilhamento de rede usando a autenticação Kerberos/SPNEGO.
A falha permite que o auxiliar cifs.upcall com privilégios de root confie em campos controlados pelo invasor que ele assume terem sido gerados pelo kernel.
Ao abusar desses campos para forçar uma troca de namespace e, em seguida, acionar uma pesquisa de Name Service Switch (NSS) antes que os privilégios sejam eliminados, um invasor local pode carregar um módulo NSS malicioso e obter a execução do código raiz.
Manizada publicou um extenso relatório técnico explicando a causa do problema e como ele pode ser aproveitado para obter privilégios de root.
Impacto, correções e exploração
Manizada diz que o CIFSwitch foi introduzido há 19 anos, em 2007. Ele acrescenta que é “não universal” e que sua exploração depende de vários fatores, como uma versão vulnerável do kernel.
Outros pré-requisitos incluem uma versão vulnerável do cifs-utils, a disponibilidade de namespaces de usuário e políticas SELinux/AppArmor que não bloqueiam o ataque.
Algumas distribuições que Manizada confirma como vulneráveis com suas configurações padrão são:
Linux Mint 21.3/22.3
Fluxo CentOS 9
Rochoso Linux 9
AlmaLinux 9
KaliLinux 2021.4–2026.1
SLES 15 SP7
O pesquisador observou que várias versões do Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux e Amazon Linux também podem ser vulneráveis se o ‘cifs-utils’ estiver instalado.
No entanto, também existem versões como Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 e openSUSE Leap 16, onde as configurações padrão do SELinux/AppArmor impedem a exploração do CIFSwitch.
Além disso, Amazon Linux 2 e Kali Linux 2019.4 e 2020.4 não são afetados, pois suas versões cifs-utils não possuem a funcionalidade de troca de namespace.
O CIFSwitch foi corrigido por um patch de kernel que adiciona validação de origens de solicitação cifs.spnego (upstream commit 3da1fdf), mas as versões exatas do kernel que enviam esse patch variam de acordo com a distribuição.
O pesquisador recomenda que os usuários desabilitem ou coloquem na lista negra o módulo CIFS se não for utilizado, removam o pacote cifs-utils se desnecessário e desabilitem namespaces de usuários sem privilégios.
Manizada publicou uma exploração de prova de conceito (PoC) para CIFSwitch, que pode ajudar as organizações a validar a eficácia dos patches e mitigações aplicadas.
CIFSwitch é a mais recente de uma série de falhas de elevação de privilégios que afetam os sistemas Linux que foram divulgadas recentemente, incluindo ‘Copy Fail’, ‘Dirty Frag’, ‘Fragnesia’, ‘DirtyDecrypt’ e ‘PinTheft’.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #nova #falha #do #cifswitch #linux #dá #root #em #múltiplas #distribuições
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário