El 28 de maig de 2026, l’investigador de seguretat Asim Manizada va publicar els detalls complets i l’exploit PoC de CIFSwitch (CVE-2026-46243), una vulnerabilitat d’escalada de privilegis locals (LPE) al mòdul CIFS del kernel Linux. El bug porta al codi del kernel des de 2007 — 19 anys sense ser detectat. En sistemes afectats, qualsevol usuari local sense privilegis pot obtenir una shell root amb una única ordre. El PoC està disponible públicament a GitHub. Els kernels pedaçats van arribar als repositoris de producció el 2 de juny. És la cinquena LPE al kernel Linux el 2026.

Què se sap de CIFSwitch i CVE-2026-46243?

  • Vulnerabilitat: LPE al path d’upcall SPNEGO del mòdul CIFS del kernel Linux. El bug viu a fs/smb/client/cifs_spnego.c.
  • CVE assignat: CVE-2026-46243 (assignat l’1 de juny de 2026).
  • Antigüitat: el bug ha estat present al kernel Linux des de 2007 — 19 anys.
  • Explotació en una sola ordre: qualsevol usuari local sense privilegis pot obtenir root amb una única ordre de terminal.
  • PoC públic: Manizada va publicar l’exploit PoC a GitHub el mateix dia de la divulgació.
  • Condicions d’explotabilitat: (1) cifs-utils instal·lat, (2) user namespaces sense privilegis habilitats, (3) mòdul CIFS del kernel carregat.
  • Distribucions afectades: Red Hat, Ubuntu, Debian, SUSE, Oracle Linux i Amazon Linux.
  • Pedàços disponibles des del 2 de juny de 2026.
  • Cinquena LPE de 2026: després de Copy Fail, Dirty Frag, Fragnesia i ssh-keysign-pwn.

Per què els servidors Linux corporatius són objectiu prioritari de LPEs com CIFSwitch

  1. L’accés local és més comú del que sembla. Un atacant ja dins la xarxa corporativa té accés local al servidor Linux. CIFSwitch converteix aquest accés limitat en control total del sistema.
  2. Els pipelines de CI/CD i runners de GitHub Actions són especialment vulnerables. Una LPE permet a un procés no privilegiat escalar a root i comprometre tot el host.
  3. Els entorns multi-tenant cloud són l’escenari de major risc. Una LPE dóna a qualsevol tenant root sobre el host complet.
  4. Root = control complet del sistema. Backdoors persistents, accés a secrets, deshabilitació de monitoratge i pivotatge cap a altres sistemes.

Com funciona l’atac: de l’usuari sense privilegis a root en una ordre

  1. L’atacant falsifica una descripció de clau cifs.spnego via el syscall request_key(2) amb valors controlats per l’atacant.
  2. El kernel invoca cifs.upcall com a root amb els valors falsificats.
  3. L’atacant manipula els namespaces per crear un entorn controlat.
  4. cifs.upcall carrega una biblioteca NSS maliciosa com a root que s’executa amb privilegis del sistema.
  5. Shell root obtinguda.

Lliçons clau i checklist de mitigació per a administradors Linux

Pas 1 — Verificar exposició:

  • rpm -q cifs-utils o dpkg -l cifs-utils per comprovar si està instal·lat.
  • sysctl kernel.unprivileged_userns_clone per comprovar els user namespaces.
  • lsmod | grep cifs per comprovar el mòdul CIFS.

Pas 2 — Pedaçament:

  • Red Hat/CentOS: dnf update kernel. Debian/Ubuntu: apt upgrade linux-image-*. Reinici requerit.
  • Per a entorns que no poden reiniciar: KernelCare/TuxCare ofereix pedaços en viu: kcarectl --update.

Pas 3 — Mitigacions sense reinici:

  • Deshabilitar user namespaces: sysctl -w kernel.unprivileged_userns_clone=0.
  • Descarregar el mòdul CIFS si no s’usa: rmmod cifs.
  • Eliminar cifs-utils si no és necessari.

La ciberseguretat com a prioritat estratègica

CIFSwitch és el recordatori que les vulnerabilitats més perilloses no són sempre les més noves. Un bug de 19 anys present al kernel Linux des de 2007 ha estat disponible per a qualsevol atacant amb accés local durant gairebé dues dècades. El DBIR 2026 va confirmar que les organitzacions tarden una mitjana de 43 dies a pedaçar vulnerabilitats crítiques.

Apolo Cybersecurity: gestió de vulnerabilitats i hardening d’infraestructura Linux

A Apolo Cybersecurity ajudem organitzacions a avaluar i mitigar la seva exposició davant vulnerabilitats LPE com CIFSwitch: verificació de l’estat d’exposició en flotes Linux corporatives, implementació de mitigacions sense reinici, hardening de configuració de user namespaces i mòduls del kernel, auditoria de seguretat d’entorns CI/CD i monitoratge d’activitat d’escalada de privilegis mitjançant eBPF i Falco.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity