top of page
Tìm kiếm

CIFSwitch: Lỗ hổng 19 năm tuổi trên Linux đe dọa chiếm quyền điều khiển tối cao

Vốn nổi tiếng với độ bảo mật cao, song hệ sinh thái Linux vừa phải đối mặt với một thách thức khủng. Một lỗ hổng an toàn thông tin nghiêm trọng mang tên CIFSwitch mới đây đã bị phơi bày sau gần hai thập kỷ âm thầm tồn tại.

Lỗ hổng CIFSwitch cho phép kẻ tấn công từ một tài khoản người dùng với quyền hạn thấp dễ dàng leo thang lên quyền root - quyền hạn tối cao cho phép kiểm soát toàn bộ hệ thống.

Công nghệ AI đã vạch trần CIFSwitch ra sao?

Lỗ hổng CIFSwitch được phát hiện bởi Asim Viladi Oglu Manizada thuộc tập đoàn công nghệ SpaceX. Không chỉ là tuổi đời của lỗ hổng, điều khiến giới công nghệ đặc biệt chú ý đến CIFSwitch còn là cách nó bị phát hiện.

Thay vì các phương pháp rà quét mã nguồn truyền thống, nhà nghiên cứu đã sử dụng một phương pháp tiếp cận mới với sự hỗ trợ của AI. Bằng cách xây dựng và phân tích các biểu đồ liên kết giữa các luồng xử lý và đối tượng bảo mật, AI đã giúp kết nối những lỗi logic rất nhỏ và mờ nhạt thành một chuỗi khai thác hoàn chỉnh trong thực tế. Kết quả là một lỗ hổng có tuổi đời từ năm 2007 đã buộc phải lộ diện sau 19 năm “tàng hình”.

Lỗ hổng CIFSwitch có tuổi đời từ năm 2007 buộc phải lộ diện sau 19 năm “tàng hình”.
Lỗ hổng CIFSwitch có tuổi đời từ năm 2007 buộc phải lộ diện sau 19 năm “tàng hình”.

Cơ chế leo thang chiếm quyền root của CIFSwitch

Để hiểu một cách đơn giản, CIFSwitch liên quan đến cách hệ điều hành Linux xử lý việc chia sẻ tệp tin qua mạng (giao thức CIFS/SMB), một tính năng rất phổ biến khi máy tính Linux cần kết nối với các ổ đĩa mạng kiểu Windows.

Trong kiến trúc của Linux, quá trình này cần sự phối hợp giữa hai thành phần:

  • Linux kernel : Nơi xử lý các thao tác cốt lõi bên dưới.

  • cifs.upcall: Một tiến trình trợ giúp chạy trên không gian người dùng nhưng được cấp quyền tối cao (root) để xác thực danh tính.

Khi có yêu cầu kết nối mạng, kernel sẽ gửi một thông điệp (gọi là yêu cầu cifs.spnego) đến tiến trình cifs.upcall để nhờ xử lý. Bản chất của lỗ hổng nằm ở chỗ Linux kernel đã không kiểm tra kỹ xem yêu cầu đó có thực sự do chính mình tạo ra hay không.

Lợi dụng sơ hở này, một người dùng thông thường có thể tự tạo ra các yêu cầu giả mạo có định dạng y hệt như yêu cầu của hệ thống. Tiến trình cifs.upcall khi nhận được thông điệp giả mạo này đã bị đánh lừa. Bằng cách thao túng các tham số kỹ thuật (như pid và upcall_target), kẻ tấn công có thể ép hệ thống chuyển hướng sang một không gian do chúng kiểm soát. Tại đây, hệ thống sẽ bị lừa nạp các tệp cấu hình cấu trúc mạng và thư viện độc hại, từ đó tự động ghi thêm tên kẻ tấn công vào danh sách những người có quyền tối cao (/etc/sudoers.d).

Theo ghi nhận, các hệ điều hành bị ảnh hưởng theo cấu hình mặc định gồm: 

  • Linux Mint (phiên bản 21.3 và 22.3), 

  • CentOS Stream 9, 

  • Rocky Linux 9, 

  • AlmaLinux 9, 

  • SLES 15 SP7 

  • Kali Linux (từ bản 2021.4 đến 2026.1). 

Bên cạnh đó, các hệ thống như Ubuntu, Debian, Pop!_OS, Oracle Linux, Amazon Linux và openSUSE cũng sẽ bị đe dọa nếu người dùng có cài đặt thêm bộ công cụ chia sẻ mạng cifs-utils.

Theo ghi nhận, các hệ điều hành bị ảnh hưởng theo cấu hình mặc định gồm: Linux Mint (phiên bản 21.3 và 22.3), CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, SLES 15 SP7  và Kali Linux (từ bản 2021.4 đến 2026.1). 
Theo ghi nhận, các hệ điều hành bị ảnh hưởng theo cấu hình mặc định gồm: Linux Mint (phiên bản 21.3 và 22.3), CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, SLES 15 SP7  và Kali Linux (từ bản 2021.4 đến 2026.1). 

Biện pháp ứng phó và phòng vệ trước lỗ hổng 19 năm tuổi

Hiện tại, bản vá lỗi chính thức đã được cập nhật vào mã nguồn chung của Linux bằng cách bổ sung cơ chế kiểm tra nguồn gốc nghiêm ngặt, không cho phép không gian người dùng giả mạo kernel nữa. Tuy nhiên, tốc độ cập nhật đến tay người dùng cuối sẽ phụ thuộc vào từng nhà phát hành hệ điều hành.

Đáng chú ý, Asim Manizada đã công khai toàn bộ tài liệu kỹ thuật “CIFSwitch” và mã khai thác PoC trên GitHub. Dù mục đích chủ yếu là hỗ trợ đánh giá các biện pháp giảm thiểu và phạm vi vá lỗi, nhưng sự xuất hiện của PoC cũng làm gia tăng nguy cơ bị tấn công trong thực tế. Theo đó, các chuyên gia khuyến nghị các quản trị viên hệ thống cần thực hiện các bước sau:

  1. Cập nhật ngay lập tức: Kiểm tra và nâng cấp các bản vá hệ điều hành mới nhất.

  2. Vô hiệu hóa tính năng thừa: Vô hiệu hoá CIFS nếu doanh nghiệp hoặc cá nhân không có nhu cầu chia sẻ tệp qua mạng.

  3. Gỡ bỏ công cụ nguy hiểm: Xóa bỏ gói cifs-utils trên những máy trạm không cần thiết.

  4. Thắt chặt an ninh: Giới hạn hoặc vô hiệu hóa quyền tự tạo không gian tên (user namespace) đối với những tài khoản người dùng thông thường.

Đến nay, CIFSwitch không phải là cái tên duy nhất gây đau đầu cho các nhà quản trị trong thời gian qua. Lỗ hổng này tiếp tục nối dài danh sách các sự cố nghiêm trọng của Linux được phát hiện gần đây như Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt hay PinTheft. Việc liên tục phát hiện ra các lỗ hổng lâu năm cho thấy, dù một hệ thống có mã nguồn mở và được kiểm thử kỹ lưỡng đến đâu, những góc khuất logic vẫn có thể tồn tại và luôn tiềm ẩn những mối đe dọa thường trực đối với an toàn hệ thống.

Nguồn tham khảo:

  • New Linux CIFSwitch Kernel Vulnerability Allows Attackers to Gain Root Access - Cyber Security News

Bình luận

conact-ipsip-vietnam
zalo
đặt lịch hẹn
linkedin ipsip vietnam
LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page