CIFSwitch, c’est le nom de la nouvelle vulnérabilité permettant une élévation de privilèges en local sur Linux. Quels sont les risques liés à cette faille de sécurité présente depuis 19 ans dans le code ? Voici l’essentiel à savoir.

La série noire continue pour le noyau Linux. Après Copy Fail, Dirty Frag, Dirty Decrypt ou encore Fragnesia, partons à la découverte de CIFSwitch.

Qu’est-ce que la vulnérabilité CIFSwitch ?

Cette vulnérabilité est directement liée au noyau Linux et au protocole CIFS (Common Internet File System) notamment parce que le paquet doit être présent sur la machine pour que l’exploitation soit possible. Pour rappel, le CIFS est un dialecte du protocole SMB. Il sert donc à lire et écrire des données sur des partages réseau distants.

Le problème de sécurité associé à la faille CIFSwitch se produit lorsqu’une authentification Kerberos doit être réalisée pour monter un partage réseau via CIFS (SMB). En effet, dans ce cas, le noyau Linux fait appel à un outil helper directement dans l’espace utilisateur et accessible par l’intermédiaire de .

“Le noyau demande une clé de type cifs.spnego, et la configuration normale de keyutils/request-key exécute cifs.upcall en tant que root pour récupérer ou construire le matériel Kerberos/SPNEGO.”, précise Asim Viladi Oglu Manizada, le chercheur à l’origine de cette découverte.

C’est alors que le sous-système CIFS du noyau Linux ne vérifie pas si les requêtes de clé proviennent bel et bien du client CIFS du noyau lui-même. De ce fait, il y a une opportunité pour un attaquant local : en étant non privilégié (utilisateur standard), il peut forger une fausse requête et déclencher le processus normal d’authentification.

L’outil d’assistance , exécuté avec les privilèges root, fait alors aveuglément confiance à des champs contrôlés par l’attaquant. Le chercheur explique que l’attaquant peut alors changer d’espace de noms et déclencher une recherche NSS pour exécuter du code avec les permissions root.

“À ce stade, peut créer un fichier de configuration contenant le nom d’utilisateur de l’attaquant, comme dans le PoC.”, peut-on lire. Ce code d’exploitation est d’ailleurs disponible sur GitHub et il prend la forme d’un script Python.

Quelles sont les distributions Linux affectées ?

Commençons par une bonne nouvelle : ce n’est pas un exploit universel, contrairement aux précédentes failles de sécurité critiques. En effet, l’exploitation de cette vulnérabilité ne dépend pas que de la version du noyau Linux : il faut aussi qu’une version affectée du paquet soit installée sur la machine et que les namespaces des utilisateurs soient disponibles. Il y a donc plusieurs conditions à respecter avant de pouvoir envisager l’exploitation de cette vulnérabilité.

Pour être plus précis :

• Le paquet en version 6.14 ou supérieur est vulnérable. Toutefois, le chercheur précise que “les backports d’autres correctifs CVE ont également introduit des problèmes dans les anciennes versions de cifs-utils.”, donc d’anciennes versions sont susceptibles d’être affectées.
• Un utilisateur non privilégié doit être autorisé à créer et à monter des namespaces utilisateur.
• Dans certains cas, les politiques de sécurité SELinux ou AppArmor bloquent cette attaque.

Le chercheur explique que cette faille de sécurité est présente dans le noyau Linux depuis 2007, soit 19 ans.

Mais, alors, quelles sont les distributions vulnérables ?

Dans le rapport publié par le chercheur, il y a plusieurs tableaux assez complets à ce sujet. Dans leur configuration par défaut, les distributions suivantes sont vulnérables :

• Linux Mint 21.3 / 22.3,
• CentOS Stream 9,
• Rocky Linux 9 Workstation,
• Kali Linux 2021.4 à 2026.1,
• AlmaLinux 9.7,
• SLES 15 SP7, SLES SAP 16.

D’autres distributions sont aussi vulnérables dans le cas où le paquet a été installé, c’est notamment le cas de :

• Ubuntu 18.04/20.04/22.04/24.04 Desktop/Server
• Pop!_OS 22.04/24.04
• Debian 11/12/13
• openSUSE Leap 15.6
• Et d’autres…

Tandis que d’autres distributions comme Ubuntu 26.04, Fedora 40 à 44 ou encore Rocky Linux 10, ne sont pas vulnérables. La raison : les politiques AppArmor et SELinux par défaut bloquent l’exploitation. Attention, si vous avez désactivé SELinux (), alors la vulnérabilité CIFSwitch devient exploitable !

Se protéger de la faille CIFSwitch

Le 19 mai 2026, un patch a été ajouté dans le code du noyau Linux (commit 3da1fdf). Il ajoute la validation de l’origine des requêtes , ce qui corrige la vulnérabilité. Désormais, il faut regarder du côté des versions de noyau de chaque distribution afin de voir si le patch a été intégré ou non.

Sinon, vous pouvez appliquer une mesure d’atténuation directement au niveau de votre machine. Il y a plusieurs options envisageables. Mais attention, cela peut vous empêcher d’accéder à des partages réseau en SMB/CIFS (donc à ne pas faire si vous avez ce besoin).

La première : désinstaller le paquet cifs-utils.

La deuxième : bloquer l’authentification Kerberos/SPNEGO sur votre machine.

Ceci permet d’utiliser les connexions SMB sur la machine, tout en désactivant ce type d’authentification (à vous de voir si vous l’utilisez ou pas). Ci-dessous, les commandes fournies par le chercheur pour appliquer cette méthode.

La troisième : désactiver le module CIFS s’il n’est pas utilisé.

Bon courage !