Après Copy Fail et Dirty Frag, une autre faille menace les environnements Linux. La CVE-2026-46243, baptisée CIFSwitch est restée bien cachée pendant 19 ans (elle traînait dans le code depuis 2007). Cette vulnérabilité, nommée CIFSwitch, exploite plusieurs bugs logiciels liés au protocole CIFS du noyau Linux ainsi qu’au paquet cifs-utils dans l’interface utilisateur servant à monter des partages SMB/CIFS. Avec à la clé la capacité pour un pirate d'obtenir des accès à privilèges de niveau root. Pour mémoire, CIFS est la mise en oeuvre du protocole de système de fichiers réseau SMB sous Windows. Dans Linux, le client CIFS du noyau gère les aspects concrets du système de fichiers : montage du partage, communication SMB avec le serveur, opérations de lecture/écriture, etc. Cependant pour les montages authentifiés par Kerberos, CIFS ne gère pas au niveau du noyau sa propre pile d'authentification et s'appuie sur un utilitaire de l'interface utilisateur fournie par cifs-utils.

Les principales distributions Linux ont déployé des correctifs pour cette faille de sécurité au début du mois. et à ce stade, aucun exploit n’a été signalé. Si de nombreuses distributions Ubuntu, Fedora, CentOS, Rocky Linux, AlmaLinux, Oracle Linux, openSUSE et SLES bloquent le chemin d'exécution par défaut, si le paquet cifs-utils a été installé manuellement, elles ne sont cependant complètement à l'abri. Les distributions Linux suivantes sont aussi vulnérables sous condition : Kali Linux 2021.4, 2022.4, 2023.4, 2024.4, 2025.4, 2026.1, Linux Mint 21.3/22.3 Cinnamon, et SLES 15 SP7/SAP 15 SP7 (lorsque AppArmor est activé), AlmaLinux 9.7 Workstation/Azure cloud image, CentOS Stream 9 Gnome, et Rocky Linux 9 Workstation (avec SELinux en mode « enforcing »), ainsi que SLES SAP 16 (avec SELinux en mode permissif). Amazon Linux 2 KVM et Kali Linux 2019.4/2020.4 ne sont pas affectées.

Des absences de vérification

Selon Asim Viladi Oglu Manizada, ingénieur senior en sécurité chez SpaceX, le noyau ne vérifie pas l'origine de la requête ni la description de l’objet clé cifs.spnego, ce qui permet à un attaquant d'appeler directement la fonction request_key et de fournir ses propres champs de description de clé, contournant ainsi l'origine. « L'interaction s'effectue via les trousseaux de clés Linux. Le noyau demande une clé de type cifs.spnego, et la configuration standard de keyutils/request-key exécute cifs.upcall en tant que root pour récupérer ou générer les données Kerberos/Spnego », explique Asim d. « L'attaquant peut exploiter cette faille en plaçant un faux fichier de configuration NSS et un module NSS dans son namespace, ce qui conduit le programme d'assistance à charger le code contrôlé par l'attaquant en tant qu'administrateur. »

« Après avoir remarqué que les fausses descriptions de clé avaient une réelle importance en matière de sécurité – elles contiennent le PID (identifiant de processus), qui, combiné à upcall_target=app, contrôle l'espace de noms dans lequel l'assistant s'exécute réellement –, ils ont converti la confusion d'espace de noms en droits administrateur sur la machine », poursuit l’ingénieur senior en sécurité de Space X. A noter que cette CVE-2026-46243 a été découverte en utilisant des LLM et l’outil GraphWalk qui améliore leurs capacités de raisonnement. Un Poc d’exploit, utilisable à des fins de recherche et de validation des mesures d’atténuation, a été publié. Ce dernier « compile deux fonctions d'aide C intégrées, une fausse bibliothèque NSS (pour écrire l'entrée dans sudoers.d) et un déclencheur qui amène cifs.upcall à entrer dans l'espace de noms privé du PoC et à charger la fausse bibliothèque NSS », peut-on lire dans la description du dépôt Github où il est hébergé.