Falha no kernel Linux permite escalada para root desde 2007
Aprofundamento CEVIU
Aprofundamento
O CIFSwitch (CVE-2026-46243) não é só mais uma falha de escalonamento de privilégios no Linux: é um bug de lógica que sobreviveu por 19 anos, desde o commit f1d662a de 2007, e só foi descoberto graças a uma abordagem inédita, um engenheiro da SpaceX usou IA para mapear grafos semânticos entre objetos do kernel e identificar inconsistências nas validações de origem de chamadas request_key. A falha permite que um processo sem privilégios forje uma solicitação cifs.spnego, acionando o helper cifs.upcall com privilégios de root e manipulando namespaces de montagem e o NSS para carregar código arbitrário. Isso acontece porque o kernel nunca verificou se a requisição vinha realmente do cliente CIFS interno, uma suposição perigosa que persistiu em todas as versões estáveis desde o início.
Distribuições como Kali (2021, 2026 headless), Rocky Linux 9 Workstation e SLES 15 SP7 são vulneráveis mesmo em configurações padrão. Outras, como Ubuntu 24.04 ou Debian 13, exigem apenas a instalação manual do cifs-utils, pacote presente em muitos ambientes corporativos por compatibilidade com SMB. O exploit PoC já está público, e logs com keyring_monitor mostrando request_key para cifs.spnego fora do contexto do kernel são um indicador claro de tentativa de exploração.
O que mudou
A cobertura CEVIU de 1º de junho tratava o CIFSwitch como uma vulnerabilidade recém-descoberta com potencial teórico de escalação. Agora sabemos que ela foi reportada aos mantenedores em 16 de maio, teve patch upstream aplicado em 3da1fdf antes de 28 de maio, e foi atribuída oficialmente como CVE-2026-46243 em 1º de junho, confirmando que o ciclo de divulgação seguiu o modelo de embargo coordenado. Diferente do que sugeriam os primeiros relatos, a exploração prática exige condições específicas (namespaces de usuário habilitados, política de segurança permissiva), mas o PoC público e a idade do bug tornam essa restrição irrelevante para ambientes mal configurados.
Por que isso importa
Empresas que usam NFS/SMB para compartilhamento de arquivos em ambientes Linux, especialmente em desktops corporativos, servidores de desenvolvimento e máquinas virtuais com acesso limitado, estão expostas a um vetor de ataque local extremamente silencioso: um usuário comum pode ganhar root sem precisar de credenciais adicionais, sem deixar rastros claros em logs tradicionais e sem depender de exploits complexos de memória. A falha também revela uma falha estrutural na forma como o kernel valida origens de chamadas de sistema críticas, um padrão que se repetiu em outras falhas recentes como 'Copy Fail' e 'DirtyDecrypt', todas descobertas com suporte de IA. Ignorar o patch ou depender apenas de mitigações paliativas (como bloquear o módulo cifs) deixa brechas operacionais reais.
Linha do tempo
Introdução do bug no kernel Linux com o commit f1d662a, durante implementação inicial do cliente CIFS
Reporte da falha aos mantenedores do kernel pelo pesquisador da SpaceX
Divulgação pública na lista oss-security após embargo
Publicação da primeira cobertura CEVIU sobre o CIFSwitch
Divulgação oficial da CVE-2026-46243 e detalhes técnicos completos da falha
Perguntas frequentes
O CIFSwitch afeta meu servidor Ubuntu 22.04?
Sim, se o pacote cifs-utils estiver instalado, o que é comum em servidores que acessam compartilhamentos SMB. O kernel Ubuntu 22.04 usa versões vulneráveis do subsistema CIFS. Verifique com dpkg -l | grep cifs-utils e aplique o patch assim que disponível pela Canonical.
Posso simplesmente desabilitar o módulo <code>cifs</code> como solução definitiva?
Não. Desabilitar o módulo impede o uso de compartilhamentos SMB/CIFS, mas não resolve o problema de fundo: outros vetores podem reaproveitar a mesma falha em helpers de chave. Além disso, se seu ambiente depende de montagens SMB, isso quebra funcionalidade crítica. O patch do kernel é a única correção real.
Como saber se alguém já tentou explorar o CIFSwitch na minha rede?
Monitore logs do auditd ou journalctl buscando mensagens com keyring_monitor e descrições de chave cifs.spnego originadas de processos não-kernel (PID > 0). Também verifique se há chamadas inesperadas ao cifs.upcall fora de contextos de montagem legítima.
A falha depende de SELinux ou AppArmor estar desativado?
Não. SELinux e AppArmor podem mitigar parcialmente a exploração, mas não bloqueiam o vetor principal, a manipulação do NSS via cifs.upcall. Políticas restritivas ajudam, mas não substituem o patch. Distribuições como RHEL 9 com SELinux ativado ainda são vulneráveis se a política permitir o carregamento de módulos NSS externos.
Fontes
- cyberkendra.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 02 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
