CIFSwitch, la falla rimasta nascosta 19 anni che porta a root Linux

Patch management

Una vulnerabilità rimasta nascosta per circa 19 anni nel kernel Linux ha riportato l’attenzione su una delle aree meno visibili del sistema operativo: l’interazione tra componenti kernel e strumenti in user space utilizzati per l’autenticazione delle condivisioni SMB. La falla in questione, ribattezzata CIFSwitch, permette a un utente locale privo di privilegi amministrativi di ottenere accesso root su numerose distribuzioni Linux in determinate condizioni. La scoperta arriva in una fase in cui il numero di vulnerabilità di elevazione dei privilegi individuate nel kernel continua a crescere, spingendo distributori e amministratori di sistema ad accelerare l’adozione delle patch di sicurezza.

Come funziona l’autenticazione CIFS e il suo ruolo nelle condivisioni

Per comprendere la natura della vulnerabilità è necessario analizzare il funzionamento dell’autenticazione CIFS. Quando un sistema Linux monta una condivisione SMB che utilizza meccanismi di autenticazione avanzati come Kerberos e SPNEGO, il kernel richiede la generazione di una chiave di autenticazione denominata cifs.spnego.

La richiesta passa attraverso il meccanismo request_key, parte integrante dell’infrastruttura keyring del kernel. Se la chiave non risulta disponibile, il kernel delega l’operazione a un programma esterno appartenente al pacchetto cifs-utils.