RockyLinux | Александр В. Леонов

Новая EoP уязвимость "CIFSwitch" в Linux позволяет получить права root в нескольких дистрибутивах. Подвержены дистрибутивы Linux с уязвимыми комбинациями ядра CIFS (реализации протокола CIFS/SMB непосредственно в ядре Linux) и пакета cifs-utils (версии 6.14 и выше, хотя некоторые более старые версии также подвержены). CIFS (Common Internet File System) - это сетевой протокол, который позволяет получать доступ к файлам, папкам и устройствам в локальной сети. В Linux он используется для монтирования, чтения и записи данных с удалённых систем.

Уязвимость обнаружил Асим Вилади Оглу Манизада (Asim Viladi Oglu Manizada), инженер по безопасности SpaceX. Он опубликовал подробный технический отчёт, объясняющий причину проблемы, а также PoC эксплоита. Присвоение CVE-идентификатора всё ещё ожидается. Манизада утверждает, что CIFSwitch существует уже 19 лет (с 2007 года). Он добавляет, что уязвимость "не универсальна", и её эксплуатация зависит от ряда факторов, включая уязвимую версию ядра. Дополнительные требования включают наличие уязвимой версии cifs-utils, доступность user namespaces, а также политики SELinux/AppArmor, которые не блокируют атаку.

Некоторые дистрибутивы уязвимы в конфигурации по умолчанию:

🔻 Linux Mint 21.3 / 22.3
🔻 CentOS Stream 9
🔻 Rocky Linux 9
🔻 AlmaLinux 9
🔻 Kali Linux 2021.4–2026.1
🔻 SLES 15 SP7

Исследователь отметил, что различные версии Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux и Amazon Linux также могут быть уязвимы, если установлен пакет cifs-utils.

Однако есть дистрибутивы, где настройки SELinux/AppArmor по умолчанию предотвращают эксплуатацию CIFSwitch:

🔹 Ubuntu 26.04
🔹 Fedora 40–44
🔹 CentOS Stream 10
🔹 Rocky Linux 10
🔹 SLES 16
🔹 AlmaLinux 10
🔹 openSUSE Leap 16

Также Amazon Linux 2 и Kali Linux 2019.4 и 2020.4 не подвержены атаке, так как их версии cifs-utils не содержат функциональности переключения namespace.

CIFSwitch был исправлен патчем ядра, который добавляет проверку происхождения запросов cifs.spnego (upstream commit 3da1fdf), однако точные версии ядра с этим исправлением зависят от дистрибутива. Исследователь рекомендует пользователям отключить или занести в чёрный список модуль CIFS, если он не используется, удалить пакет cifs-utils при ненадобности, а также отключить непривилегированные user namespaces.

CIFSwitch - последняя из недавно раскрытых уязвимостей повышения привилегий в Linux. К этой же серии относятся Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt и PinTheft.

До End of Life CentOS 7 осталось 2 недели. Самое время проверить не осталось ли где-то в инфраструктуре хостов с этой операционной системой. Куда мигрировать с CentOS 7 не особо понятно. RedHat превратили CentOS в нестабильный дистрибутив CentOS Stream и начали бороться с традиционными альтернативами в виде Alma и Rocky. Можно, конечно, посмотреть в сторону SberLinux, RedOS и Роса «Кобальт», но, имхо, будущее RPM-based дистрибутивов совместимых с RHEL в России достаточно туманно и стоит целиться скорее в Астру или Альт. Судя по статистике, в мире в основном бегут на Ubuntu.

Наблюдаю за попыткой Red Hat расправиться с бесплатными клонами RHEL. Они прекратили публиковать srpm-пакеты RHEL в репозитории git.centos.org. Теперь можно будет забирать только исходники пакетов нестабильного дистриба CentOS Stream. 😏 Естественно, Alma и Rocky оказались в щекотливом положении. Вендоров отечественных RPM-based дистрибутивов новость тоже, наверняка, не порадовала. Самый смачный пост был у Mike McGrath, "Vice President of Core Platforms Engineering at Red Hat". Вообще в выражениях не стесняется:

"Я чувствую, что большая часть гнева из-за нашего недавнего решения относительно даунстримов исходит либо от тех, кто не хочет платить за время, усилия и ресурсы, вложенные в RHEL, либо от тех, кто хочет переупаковать их для собственной выгоды. Этот спрос на код RHEL лицемерен."

"В конечном счете, мы не находим ценности в ребилдерах RHEL-а и не обязаны облегчать жизнь ребилдерам"

"Простой ребилд кода без добавления ценности или какого-либо изменения представляет собой реальную угрозу для компаний с открытым исходным кодом во всем мире. Это реальная угроза открытому исходному коду, и она потенциально может вернуть опенсурс обратно в деятельность только для любителей […]".

Вот тебе и опенсурс. Как в КВНе было: "- Дайте полотенце - Вон там, на швабре возьмите". А кто-то ещё критикует МЦСТ за нарушение GPL. 😏

Так-то ещё с закапывания CentOS было понятно, что дело пахнет керосином и бежать нужно не на RHEL-клоны, а куда подальше.

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: RockyLinux

Новая EoP уязвимость "CIFSwitch" в Linux позволяет получить права root в нескольких дистрибутивах

До End of Life CentOS 7 осталось 2 недели

Наблюдаю за попыткой Red Hat расправиться с бесплатными клонами RHEL