Een kwetsbaarheid die sinds 2007 in de Linux-kernel aanwezig is, maakt het mogelijk om volledige systeemrechten te verkrijgen op een breed scala aan Linux-omgevingen. Er is een werkende aanvalscode gepubliceerd. Een kernelpatch is beschikbaar maar wordt nog uitgerold door de distributies.
Linux-gebruikers en -beheerders zijn de afgelopen weken geconfronteerd met een reeks kwetsbaarheden: Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt en PinTheft kwamen allemaal in korte tijd naar buiten. CIFSwitch is de nieuwste in die reeks, en onderscheidt zich door zijn leeftijd: de fout bestaat al negentien jaar.
De kwetsbaarheid werd ontdekt door een beveiligingsonderzoeker van SpaceX, die een uitgebreide technische toelichting en een werkende aanvalscode heeft gepubliceerd. Actief misbruik is op het moment van schrijven nog niet gemeld, maar de beschikbaarheid van die aanvalscode verlaagt de drempel voor misbruik aanzienlijk.
Wat is CIFS en waarom is dit relevant?
CIFS, voluit Common Internet File System, is een protocol waarmee Linux-systemen bestanden en mappen op andere computers in een netwerk kunnen benaderen. Vergelijkbaar met hoe een Windows-computer een gedeelde netwerkschijf koppelt. Dit protocol wordt veel gebruikt in bedrijfsomgevingen waar Linux-servers samenwerken met andere systemen, bijvoorbeeld bij gedeelde opslag of bestandsuitwisseling tussen servers.
Wanneer zo’n gedeelde schijf is beveiligd met Kerberos-authenticatie, een veelgebruikte methode in zakelijke netwerken, dan vraagt de Linux-kernel een hulpprogramma om die authenticatie af te handelen. Dat hulpprogramma draait met volledige beheerdersrechten. De fout in CIFSwitch zit in het feit dat de kernel niet controleert of verzoeken aan dat hulpprogramma daadwerkelijk van de kernel zelf afkomstig zijn. Een aanvaller kan die controle omzeilen, het hulpprogramma misleiden en via die weg volledige systeemrechten verkrijgen.
| Aanwezig sinds 2007 | Patch Beschikbaar | Exploit publiek Ja | Actief misbruik Nog niet |
Welke systemen zijn kwetsbaar?
De kwetsbaarheid is niet universeel: of een systeem daadwerkelijk kwetsbaar is, hangt af van een combinatie van factoren. Denk aan de versie van de Linux-kernel, de aanwezigheid van het cifs-utils pakket in versie 6.14 of hoger, en de configuratie van beveiligingsbeleid op het systeem.
Distributies die in de standaardconfiguratie kwetsbaar zijn, zijn onder andere bepaalde versies van Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux en Amazon Linux, maar uitsluitend als cifs-utils geïnstalleerd is. Nieuwere versies zoals Ubuntu 26.04, Fedora 40 tot en met 44, CentOS Stream 10 en Rocky Linux 10 zijn dankzij strengere standaardinstellingen voor beveiligingsbeleid niet kwetsbaar via de standaardconfiguratie.
Kortom: niet elke Linux-omgeving loopt risico, maar de combinatie van een ouder systeem met gedeelde netwerkschijven via Kerberos is een duidelijk risicogebied.
Wat nu te doen
- Installeer de kernelupdate zodra die beschikbaar is voor jouw distributie
De upstream kernelpatch is beschikbaar. De grote distributies rollen deze momenteel uit. Controleer of de update beschikbaar is voor jouw omgeving en voer deze zo snel mogelijk door. - Schakel de CIFS-module uit als die niet wordt gebruikt
Veel systemen hebben de CIFS-module geladen zonder dat die actief wordt gebruikt. Het uitschakelen ervan elimineert het aanvalspad volledig op die systemen. - Controleer of de CIFS-module actief is:
lsmod | grep cifs - Schakel de module permanent uit:
echo "install cifs /bin/false" > /etc/modprobe.d/disable-cifs.conf
rmmod cifs 2>/dev/null - Verwijder cifs-utils als het niet nodig is
Het hulpprogramma cifs-utils is een vereiste voor de aanval. Op systemen waar geen gebruik wordt gemaakt van CIFS-gedeelde schijven, kan het pakket worden verwijderd. - Verwijder cifs-utils (Debian/Ubuntu):
apt remove cifs-utils - Verwijder cifs-utils (Red Hat/CentOS/AlmaLinux):
dnf remove cifs-utils - Schakel onbevoegde gebruikersnaamruimten uit
De aanval maakt gebruik van een Linux-functie waarmee gewone gebruikers geïsoleerde omgevingen kunnen aanmaken. Op systemen waar dit niet noodzakelijk is, kan deze functie worden uitgeschakeld als aanvullende beveiligingsmaatregel. Let op: dit kan invloed hebben op containergebaseerde omgevingen zoals Docker. - Schakel onbevoegde gebruikersnaamruimten uit:
sysctl -w kernel.unprivileged_userns_clone=0
echo "kernel.unprivileged_userns_clone=0" >> /etc/sysctl.conf
Een patroon dat aandacht verdient
CIFSwitch is de zesde kwetsbaarheid van dit type die in korte tijd publiek is gemaakt voor Linux. Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt en PinTheft gingen eraan vooraf. Dat is geen toeval: zodra een onderzoeker diep in een onderdeel van de kernel duikt, vindt hij er vaker meer. De aanpak verspreidt zich ook: andere onderzoekers gebruiken dezelfde methoden om vergelijkbare fouten te vinden in andere onderdelen.
Voor organisaties die Linux draaien, betekent dit dat de afgelopen maanden een bovengemiddeld aantal kwetsbaarheden in dit besturingssysteem publiek is geworden. Wie patchbeheer niet structureel heeft georganiseerd, heeft de afgelopen weken meerdere keren achter de feiten aangelopen.
Wat RiskGuard hierin doet
RiskGuard helpt organisaties grip te houden op kwetsbaarheden zoals CIFSwitch. We brengen in kaart welke systemen risico lopen, beoordelen of tijdelijke maatregelen correct zijn doorgevoerd en ondersteunen bij het inrichten van een patchproces dat aansluit op de snelheid waarmee dit soort dreigingen zich de afgelopen tijd hebben ontwikkeld.
Wil je weten of jouw Linux-omgeving kwetsbaar is of hoe jullie patchproces er voor staat? Neem contact op voor een vrijblijvend gesprek.
