Uma vulnerabilidade crítica descoberta no kernel do Linux pode permitir que usuários sem privilégios administrativos obtenham acesso root ao sistema. A falha, identificada pelo engenheiro de segurança da SpaceX, Asim Viladi Oglu Manizada, recebeu o nome de CIFSwitch e afeta múltiplas distribuições Linux que utilizam o módulo CIFS em conjunto com versões recentes do pacote cifs-utils.
O mais alarmante é que o problema existe desde 2007 e só foi descoberto e corrigido em 2026.
A vulnerabilidade foi registrada sob o identificador CVE-2026-46243 e explora um erro no mecanismo de autenticação utilizado para acessar compartilhamentos de arquivos em rede.
O que é o CIFS e por que ele importa?
O CIFS (Common Internet File System) é um protocolo usado pelo Linux para acessar arquivos, pastas e dispositivos compartilhados em redes locais, algo comum em empresas e ambientes corporativos.
Quando um compartilhamento exige autenticação via Kerberos, o sistema não realiza esse processo sozinho. Em vez disso, o kernel delega a tarefa a um programa auxiliar chamado cifs.upcall, pertencente ao pacote cifs-utils.
Esse componente opera com privilégios de root e é responsável por recuperar credenciais temporárias de autenticação.
A comunicação entre o kernel e o cifs.upcall ocorre por meio do sistema de chaves do Linux, utilizado para armazenar informações temporárias de segurança.
Onde está a falha?
O problema está na forma como o kernel validava solicitações do tipo cifs.spnego, usadas durante o processo de autenticação.
Normalmente, essas requisições são criadas pelo próprio subsistema CIFS do kernel e incluem informações como:
- Servidor de destino;
- Usuário responsável pela conexão;
- Processo que originou a solicitação;
- Namespace associado.
No entanto, o kernel não verificava se essas solicitações eram realmente legítimas.
Na prática, qualquer usuário comum poderia criar uma requisição falsa e fazer o sistema tratá-la como confiável.
Como consequência, o programa cifs.upcall seria executado com privilégios de root utilizando informações manipuladas pelo invasor.
Como o ataque funciona na prática
O ataque ocorre por meio de uma cadeia de exploração relativamente sofisticada.
Primeiro, o invasor cria uma requisição falsa contendo um identificador de processo (PID) sob seu controle e um parâmetro específico que faz o sistema alternar para um namespace controlado pelo atacante.
Em termos simples, um namespace funciona como um ambiente isolado dentro do sistema operacional, definindo quais arquivos e recursos um processo consegue enxergar.
Ao mudar para esse ambiente malicioso, o cifs.upcall — ainda operando como root — passa a ler arquivos manipulados pelo atacante.
Entre eles está o arquivo nsswitch.conf, responsável por definir onde o sistema busca informações sobre usuários e grupos.
Esse arquivo aponta para um módulo malicioso criado pelo criminoso, que é carregado automaticamente com privilégios elevados.
No exploit de prova de conceito publicado pelo pesquisador, o código malicioso simplesmente adiciona o invasor ao grupo de usuários autorizados a executar comandos administrativos.
Na prática, isso concede acesso root completo à máquina.
Quais sistemas estão vulneráveis?
Segundo o pesquisador, diversas distribuições Linux podem ser exploradas nas configurações padrão.
Entre as confirmadas estão:
- Linux Mint 21.3 e 22.3;
- CentOS Stream 9;
- Rocky Linux 9;
- AlmaLinux 9;
- Kali Linux (2021.4 até 2026.1);
- SLES 15 SP7.
Outras distribuições, como Ubuntu, Debian, Pop!_OS e openSUSE, também podem ser afetadas caso o pacote cifs-utils esteja instalado.
Já sistemas como Fedora 40 a 44, CentOS Stream 10, Rocky Linux 10 e AlmaLinux 10 contam com proteções padrão do SELinux, que bloqueiam a exploração — embora a vulnerabilidade reapareça caso o mecanismo seja desativado.
Por outro lado, versões mais antigas do Amazon Linux 2 e do Kali Linux (2019.4 e 2020.4) não são afetadas devido ao uso de versões anteriores do cifs-utils.
Como se proteger
A correção oficial adiciona uma validação extra no kernel para garantir que apenas o próprio subsistema CIFS consiga gerar requisições do tipo cifs.spnego.
Enquanto atualizações não chegam a todas as distribuições, especialistas recomendam algumas medidas preventivas:
- Remover ou bloquear o módulo CIFS caso compartilhamentos de rede não sejam utilizados;
- Desinstalar o pacote cifs-utils quando autenticação Kerberos não for necessária;
- Alterar regras do sistema request-key para impedir chamadas automáticas do cifs.upcall;
- Desabilitar a criação de namespaces por usuários sem privilégios administrativos;
- Aplicar patches de segurança assim que disponibilizados pela distribuição.
Um alerta para ambientes corporativos
Embora a exploração exija acesso local ao sistema, o impacto da vulnerabilidade é significativo, principalmente em ambientes corporativos com múltiplos usuários, servidores compartilhados e estações Linux conectadas a redes internas.
O caso também chama atenção pelo tempo em que permaneceu invisível: quase duas décadas desde sua introdução no kernel até sua descoberta.
Isso reforça um ponto recorrente na segurança digital: até componentes maduros e amplamente utilizados podem esconder falhas críticas por muitos anos.
