新近披露的Linux本地权限提升漏洞CIFSwitch，允许无权限的本地用户通过Linux内核的CIFS客户端和cifs-utils用户空间助手，在某些系统上获取root访问权限。

安全研究员阿西姆·马尼扎达（Asim Manizada）披露了这一问题，并将其描述为非通用的Linux本地根权限漏洞，因为其可利用性取决于特定的发行版配置。目前已有公开的概念验证利用程序，这增加了受影响系统进行修补和缓解的紧迫性。

漏洞源于CIFS使用Linux密钥环的方式。通常，内核会请求一个cifs.spnego密钥，系统的请求密钥配置会以root身份启动cifs.upcall来处理Kerberos/SPNEGO身份验证。

根据披露的信息，该漏洞允许未经授权的用户空间进程请求伪造的cifs.spnego密钥描述。内核无法正确拒绝非内核CIFS来源的描述，且默认的请求密钥规则仍可能以root身份启动cifs.upcall。

用户空间助手随后解析了攻击者控制的字段，包括pid、uid、creduid和upcall_target，就像这些字段是由内核生成的一样。通过设置upcall_target=app，助手可以切换到攻击者控制的命名空间中。

此次攻击尤为危险，因为在最终权限降级之前，可能会通过NSS进行账户查找。在此状态下，根助手可以加载命名空间本地的NSS配置和模块，从而使攻击者控制的代码能够以根权限运行。

公共概念验证（PoC）存储库解释说，该漏洞利用程序构建了辅助代码，包括一个伪造的NSS库和一个触发器，该触发器会使cifs.upcall进入私有命名空间并加载受控的NSS模块。作者表示，该PoC旨在供防御者、维护者和授权安全团队验证暴露情况、补丁和缓解措施。

内核端的修复已公开，并已列入稳定版发布队列。该修复通过验证只有使用其私有spnego_cred凭据的CIFS才能创建用户空间创建的cifs.spnego描述，从而拒绝这些描述。在发布时，CVE分配仍待定。

好消息是，默认情况下，CIFSwitch并不会影响所有Linux系统。研究人员列出了几个必要条件：易受攻击的内核、受影响的cifs-utils版本、默认的cifs.spnego请求密钥规则、启用的无特权用户和挂载命名空间，以及不会阻止攻击链的SELinux或AppArmor策略。

oss-security - CIFSwitch: Linux kernel/cifs-utils local root via forged cifs.spnego upcall

GitHub - manizada/CIFSwitch · GitHub