CIFSwitch, la faille Linux cachée depuis 20 ans donne les droits administrateurs à n’importe qui

Linux est touché par une faille appelée CIFSwitch. Un vulnérabilité locale qui permet à un utilisateur sans privilèges de récupérer les droits root sur plusieurs distributions. Le chercheur Asim Viladi Oglu Manizada a publié les détails avec un exploit public de cette faille présente depuis 2007.

La suite après cette publicité
Sommaire
CIFSwitch Linux faille
© Image IA d’illustration générée avec ChatGPT / BuzzArena
  • CIFSwitch est une faille locale présente dans Linux depuis 2007, capable de permettre à un utilisateur sans privilèges de récupérer les droits root sur plusieurs distributions.
  • La faille exploite une mauvaise vérification entre le noyau, request-key et cifs.upcall, puis pousse un programme root à traiter des champs contrôlés par l’attaquant.
  • L’exploit public dépend de plusieurs conditions, mais il touche des distributions connues et reste critique sur un PC partagé, un serveur mutualisé ou un runner CI.

Le sujet tombe dans une période déjà très chargée pour Linux. En avril 2026, la faille Copy Fail a déjà montré qu’un utilisateur local peut de franchir la barrière root sur des distributions majeures. Quelques semaines plus tard, CIFSwitch fait la même chose. Mais avec un code encore plus ancien et une chaîne d’exploitation différente.

Comment fonctionne CIFSwitch, la faille cachée dans Linux ?

Pour comprendre la faille, il faut revenir à CIFS. Ce protocole permet à Linux d’accéder à des partages de fichiers réseau, souvent dans des environnements Windows ou mixtes. Lorsque l’authentification passe par Kerberos et SPNEGO, le noyau demande de l’aide à un outil utilisateur appelé cifs.upcall. Ce petit programme appartient au paquet cifs-utils et tourne avec les droits root afin de récupérer le ticket nécessaire.

Sauf que voilà, CIFSwitch exploite une confiance mal vérifiée. Le noyau accepte une requête de type cifs.spnego qui n’a pas vraiment été produite par son propre client CIFS. Un utilisateur local fabrique alors une fausse description, la transmet au mécanisme request-key et pousse cifs.upcall à traiter des champs gérés par l’attaquant. AlmaLinux résume le problème en expliquant que le client CIFS du noyau ne rejetait pas les descriptions venues de l’espace utilisateur.

La suite est redoutable. Le pirate force le programme root à entrer dans un espace de noms qu’il contrôle. Puis une recherche NSS charge un module piégé avant la chute finale des privilèges. Dans la preuve de concept publiée par Asim Viladi Oglu Manizada, cette étape permet d’écrire une règle dans sudoers.d et d’obtenir root. Le correctif au niveau du noyau ajoute une vérification simple. Les descriptions cifs.spnego sont acceptées seulement lorsqu’elles viennent vraiment du noyau.

Une élévation des privilèges dangereuse pour la victime

Mais ce n’est pas une faille universelle car elle exige plusieurs conditions. Il faut un noyau vulnérable, un paquet cifs-utils concerné, la création d’espaces de noms par des utilisateurs sans privilèges et une politique SELinux ou AppArmor qui ne bloque pas la chaîne. Cela suffit pourtant à toucher des distributions très connues. Asim Viladi Oglu Manizada cite Linux Mint 21.3 et 22.3, CentOS Stream 9, Rocky Linux 9, Kali Linux de 2021.4 à 2026.1, AlmaLinux 9.7 et SLES 15 SP7 comme exploitables avec leur configuration par défaut.

Le cas Ubuntu montre bien la nuance. Ubuntu 18.04, 20.04 et 22.04 sont exploitables si cifs-utils est installé. Ubuntu 26.04 est bloqué par défaut. Même logique pour Fedora, CentOS Stream 10, Rocky Linux 10 ou AlmaLinux 10, où SELinux arrête l’exploit public si la politique reste active.

Il faut dire que cette découverte arrive aussi dans un contexte plus large. La sécurité de Linux est secouée par l’arrivée d’outils IA capables de fouiller de très grands volumes de code. Asim Viladi Oglu Manizada explique avoir utilisé une approche par graphes pour aider les modèles à relier plusieurs petits défauts logiques. Ce n’est pas un simple scan automatique. C’est une manière de reconstruire les connexions entre composants et de repérer des chaînes que humain laisse passer.

Résultat, le débat lancé autour de Linux 7.0 et poursuivi avec Linux 7.1 prend une autre dimension. Linux avance vite, progresse en termes de parts de marché et attire de plus en plus d’utilisateurs.

Comment se protéger contre cette faille ?

Les mesures temporaires existent. Il est conseiller de retirer cifs-utils si les partages CIFS ne sont pas utilisés, d’empêcher le module cifs de se charger, de neutraliser la règle cifs.spnego dans request-key ou de bloquer les espaces de noms sans privilèges. Mais la vraie réponse reste le noyau corrigé. Sur un PC utilisé par plusieurs utilisateurs, un serveur mutualisé, un runner CI ou une ferme de construction de conteneurs, CIFSwitch est un accès root local à traiter rapidement.

Bref, CIFSwitch ne casse pas tout Linux d’un coup. Mais la faille prouve qu’un vieux composant réseau, un outil root et une mauvaise vérification suffisent  à ouvrir la porte administrateur. Alors que Microsoft pousse sa distribution Linux de Microsoft, que Linux en France, ce type de faille pourrait être utilisé en masse face à la popularité grandissante de l’OS.

Source : Hey, it’s Asim

Réagissez à cet article !

Un avis, une expérience, un désaccord ? La discussion est ouverte.