【漏洞通告】Linux CIFS本地提权漏洞
发布时间 2026-05-29一、漏洞概述
Linux CIFS客户端是Linux Kernel中用于挂载和访问SMB/CIFS网络文件共享的内核组件,常用于访问Windows文件共享、NAS及企业文件服务器。cifs-utils是其配套用户态工具集,提供mount.cifs、cifs.upcall等程序,用于处理CIFS挂载、Kerberos/SPNEGO认证及相关密钥请求。
2026年5月29日,启明星辰安全应急响应中心(VSRC)监测到Linux CIFS本地提权漏洞。该漏洞源于内核侧未验证cifs.spnego key描述是否来自可信CIFS内核上下文,导致本地低权限用户可通过request_key伪造cifs.spnego描述,触发cifs.upcall以root权限运行,并利用受控pid、uid、creduid、upcall_target等字段切换至攻击者命名空间,在权限下降前加载恶意NSS模块,实现root代码执行。成功利用后可完全控制受影响主机,造成系统配置、业务数据和账号凭据泄露或篡改。
二、影响范围
Linux Kernel:未合入补丁3da1fdf4efbc490041eb4f836bf596201203f8f2的版本
cifs-utils >= 6.14
该漏洞利用还依赖以下条件同时满足:系统安装cifs-utils并保留默认cifs.spnego request-key规则;CIFS内核模块可加载或已编译进内核;允许非特权用户创建user namespace和mount namespace;SELinux、AppArmor等安全策略未阻断该利用链。部分发行版可能通过默认安全策略阻断PoC,但在策略放宽后仍可能受影响。
三、安全措施
3.1 升级版本
官方已发布内核侧修复补丁,以修复该漏洞。。
修复提交为3da1fdf4efbc(“smb: client: reject userspace cifs.spnego descriptions”)。建议用户尽快升级至发行版厂商发布的安全内核版本,或更新至已合入该补丁的Linux Kernel版本。该补丁在内核侧为cifs.spnego key类型增加描述验证逻辑,仅允许CIFS使用spnego_cred发起的合法描述通过校验,从而阻断普通用户伪造cifs.spnego upcall并触发root权限cifs.upcall的利用路径,同时,建议持续关注cifs-utils官方及各Linux发行版安全公告,及时更新cifs-utils软件包。
下载链接:
https://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2/
3.2 临时措施
如业务不需要SMB/CIFS挂载,禁止CIFS内核模块加载,或卸载cifs-utils。
如不需要Kerberos CIFS认证,删除或覆盖默认cifs.spnego request-key规则,例如:
cat >/etc/request-key.d/cifs.spnego.conf <<'EOF'
create cifs.spnego * * /usr/sbin/keyctl negate %k 30 %S
EOF
禁用非特权用户命名空间,降低本地低权限用户构造隔离命名空间并诱导root辅助程序切换的风险。
保持SELinux、AppArmor等强制访问控制策略开启,避免放宽相关user namespace、mount namespace及NSS模块加载限制。
加强request-key回调链路安全校验,避免用户态helper信任未经验证的pid、uid、creduid、upcall_target等字段。
对cifs.upcall、request-key、keyctl、namespace创建行为进行审计和告警,重点关注低权限用户异常触发cifs.spnego upcall的行为。
避免在高权限辅助程序中基于攻击者可控命名空间执行NSS解析、动态库加载等敏感操作,防止在权限下降前加载不可信代码。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://heyitsas.im/posts/cifswitch/
https://seclists.org/oss-sec/2026/q2/717
京公网安备11010802024551号