Un bug vieux de 19 ans vient d’être découvert dans le noyau Linux. Baptisé CIFSwitch, il permet à n’importe quel utilisateur sans privilèges d’obtenir un accès root complet — et l’exploit est déjà public.
Depuis plusieurs semaines, une vague de découvertes de failles inquiétantes frappe le noyau Linux, le système d’exploitation qui fait tourner l’essentiel des serveurs et des infrastructures cloud de la planète.
La plus remarquable d’entre elles, baptisée Copy Fail, est une vulnérabilité enfouie depuis 2017 dans le noyau Linux, qui permettait de prendre le contrôle total d’un système.
Ce record de longévité est battu avec CIFSwitch, qui s’ajoute donc à cette longue liste. Divulguée le 27 mai 2026 par le chercheur Asim Manizada, ingénieur en sécurité chez SpaceX, la faille dormait dans le code du noyau Linux depuis 2007, soit 19 ans.
Comment CIFSwitch fonctionne
Pour comprendre CIFSwitch, il faut d’abord savoir ce qu’est CIFS. Ce protocole réseau permet à une machine Linux de se connecter à des dossiers partagés sur le réseau, typiquement des serveurs de fichiers Windows dans une entreprise. C’est une fonctionnalité très courante dans les environnements professionnels.
Quand ce partage réseau utilise Kerberos pour s’authentifier, le noyau Linux ne gère pas lui-même cette authentification. Il délègue la tâche à un petit programme externe nommé cifs.upcall qui s’exécute avec les droits root pour pouvoir accomplir ses opérations.
Le problème réside dans le fait que le noyau ne vérifiait pas que la demande d’authentification provenait de son propre sous-système. Cela permettait à n’importe quel processus sur la machine d’envoyer une fausse demande, avec des paramètres contrôlés par l’attaquant.
À partir de cette vulnérabilité, l’attaquant peut forcer le programme à basculer dans un espace de noms qu’il contrôle, implanter un faux module système malveillant, chargé et exécuté avec les droits root. Ainsi, sur une machine vulnérable, n’importe quel utilisateur local peut devenir root en une seule commande.
Qui est concerné par CIFSwitch ?
Bonne nouvelle, CIFSwitch n’est pas universelle : elle requiert une version vulnérable du noyau et certaines configurations système spécifiques. Plusieurs distributions sont vulnérables par défaut, notamment Linux Mint, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux ou SLES 15 SP7.
La méthode de découverte de CIFSwitch est également notable. Asim Manizada a utilisé une approche assistée par IA pour identifier la faille, cartographiant les relations entre composants du noyau pour repérer des enchaînements de petites failles logiques devenant exploitables.
Cette méthode croissante dans la recherche en sécurité pourrait expliquer pourquoi les failles critiques dans Linux continuent d’émerger. À noter qu’aucun identifiant CVE n’avait été assigné à CIFSwitch au moment de sa divulgation publique, une attribution est en cours.
Source : Numerama
