Eine neu veröffentlichte Sicherheitslücke mit der Bezeichnung „CIFSwitch“ betrifft das CIFS-Subsystem des Linux-Kernels. Die Komponente ist für den Zugriff auf Netzwerkfreigaben über das SMB-Protokoll zuständig und wird in vielen Linux-Umgebungen eingesetzt.
Im Mittelpunkt der Analyse steht das Hilfsprogramm „cifs.upcall“ aus dem Paket cifs-utils. Dieses übernimmt Authentifizierungsaufgaben zwischen Kernel und Userspace. Nach Angaben des Sicherheitsforschers Asim Viladi Oglu Manizada existiert dabei eine Schwachstelle in der Kommunikation zwischen beiden Komponenten, die eine lokale Rechteausweitung ermöglicht.
Manipulierte Anfragen umgehen Sicherheitsannahmen
Das Problem entsteht dadurch, dass der Kernel bestimmte Authentifizierungsanfragen nicht ausreichend auf ihre Herkunft überprüft. Eigentlich sollten diese Anfragen ausschließlich vom CIFS-Subsystem stammen. Ein lokaler Angreifer kann jedoch selbst entsprechende Nachrichten erzeugen und dabei eigene Parameter einschleusen.
Da cifs.upcall mit Root-Rechten ausgeführt wird, entsteht daraus ein kritischer Angriffsvektor. Manipulierte Anfragen können dazu führen, dass Prozesse innerhalb von Namensräumen gestartet werden, die vollständig unter Kontrolle des Angreifers stehen. Dadurch lassen sich Sicherheitsgrenzen umgehen und höhere Berechtigungen erlangen.
Name Service Switch verstärkt das Risiko
Zusätzliche Brisanz erhält die Schwachstelle durch einen zweiten technischen Faktor. Während der Verarbeitung führt cifs.upcall Benutzerabfragen über den Name Service Switch (NSS) durch, bevor die erhöhten Rechte abgelegt werden.
Angreifer können diesen Ablauf missbrauchen, indem sie gefälschte NSS-Konfigurationsdateien und manipulierte Module bereitstellen. Werden diese geladen, erfolgt die Ausführung mit Root-Rechten. Die eigentliche Schwachstelle wird dadurch zu einem praktikablen Weg für eine vollständige Privilegieneskalation auf dem betroffenen System.
Nicht jede Linux-Distribution ist verwundbar
Die Auswirkungen hängen stark von der jeweiligen Distribution und deren Standardkonfiguration ab. Betroffen sind unter anderem bestimmte Versionen von Linux Mint, CentOS, Rocky Linux, Kali Linux, AlmaLinux sowie SLES SAP, sofern cifs-utils standardmäßig installiert ist.
Andere Distributionen verhindern den kritischen Ablauf bereits durch ihre Voreinstellungen. Laut den bislang veröffentlichten Analysen gelten außerdem Amazon Linux 2 KVM sowie einige ältere Kali-Versionen als nicht betroffen.
Für Administratoren bedeutet das: Die bloße Existenz von cifs-utils reicht nicht aus, um die Verwundbarkeit zu bestätigen. Entscheidend sind die konkrete Distribution, die installierte Version und die lokale Systemkonfiguration.
Sicherheitsupdates stehen bereits bereit
Die großen Linux-Distributionen haben bereits Sicherheitsupdates veröffentlicht. Systeme mit aktivem SMB- beziehungsweise CIFS-Einsatz sollten zeitnah überprüft und aktualisiert werden.
Der Forscher empfiehlt darüber hinaus eine Härtung der Kommunikation zwischen Kernel und Userspace. Künftig sollten ausschließlich eindeutig vom CIFS-Subsystem erzeugte Schlüsselinformationen akzeptiert werden. Ergänzende Prüfungen innerhalb des Userspace könnten manipulierte Anfragen zusätzlich frühzeitig erkennen und blockieren.
Für Tests steht inzwischen auch ein Proof-of-Concept-Code zur Verfügung. Dieser kann genutzt werden, um die Wirksamkeit von Patches, Schutzmaßnahmen und Erkennungsmechanismen in kontrollierten Umgebungen zu überprüfen. Gerade in Unternehmensnetzwerken mit zentralen Dateifreigaben bietet sich damit die Möglichkeit, die eigene Absicherung gezielt zu validieren.
Kommentare (0)