كشفت تقارير أمنية حديثة عن ثغرة أمنية لتصعيد الصلاحيات المحلية في نواة Linux، تحمل اسم CIFSwitch، تمنح المستخدمين المحليين غير المصرح لهم إمكانية الوصول إلى صلاحيات الجذر (Root) على توزيعات متعددة، شريطة توافر ظروف تشغيل معينة.
أعلن الباحث الأمني Asim Viladi Oglu Manizada عن هذه الثغرة في 27 مايو 2026، موضحاً ارتباطها بآلية تكامل عميل CIFS في النواة مع حزمة أدوات cifs-utils؛ وهي الأدوات المسؤولة عن دعم مصادقة Kerberos عند التعامل مع مشاركات الملفات الشبكية. ووفقاً للتحليل الفني، فإن جذور هذا الخلل تعود إلى عام 2007، ما يشير إلى بقاء مسار حساس في بروتوكول المصادقة مكشوفاً لنحو 19 عاماً قبل أن يتم توثيق استغلاله رسمياً.
تعتمد منهجية الهجوم على تزوير طلب من نوع cifs.spnego عبر آلية request_key، ما يستدرج النظام لتشغيل أداة cifs.upcall بصلاحيات الجذر. وتكمن الفجوة الأمنية في عدم تحقق النسخ السابقة للإصلاح بشكل كافٍ من مصدر الطلب، للتأكد مما إذا كان صادراً بالفعل عن عميل CIFS داخل النواة. يسمح هذا القصور للمهاجم بتمرير حقول مزيفة، تشمل pid وupcall_target=app، ومن ثم استغلال عمليات تبديل النطاقات لتحميل مكون NSS ضار قبل تنفيذ إجراء إسقاط الصلاحيات.
ولا تُصنف CIFSwitch كثغرة قابلة للاستغلال التلقائي في جميع أنظمة Linux، إذ يتطلب تفعيلها اجتماع عدة عوامل تقنية، منها استخدام إصدار متأثر من النواة، ووجود نسخة معرضة من cifs-utils، والسماح بإنشاء نطاقات المستخدم غير المميزة، وغياب سياسات تقييدية مثل SELinux أو AppArmor التي قد تحظر مسار الهجوم. وبناء على ذلك، وصف الباحث الثغرة بأنها “غير شاملة”، رغم خطورتها العالية في البيئات متعددة المستخدمين أو الخوادم التي تمنح حسابات محلية محدودة الصلاحيات.
وقد أظهرت الاختبارات إمكانية استغلال الثغرة في الإعدادات الافتراضية لتوزيعات: Linux Mint 21.3 و22.3، وCentOS Stream 9، وRocky Linux 9، وAlmaLinux 9.7، وإصدارات Kali Linux الممتدة بين 2021.4 و2026.1، بالإضافة إلى SLES 15 SP7. كما يُحتمل تأثر توزيعات أخرى مثل Ubuntu وDebian وPop!_OS وopenSUSE وOracle Linux وAmazon Linux في حال تثبيت cifs-utils واستيفاء بقية الشروط التقنية.
وفي سياق متصل، أكدت مصادر متابعة توفر نموذج إثبات مفهوم (PoC) للاستغلال بشكل علني، بينما تم معالجة الخلل في النواة عبر تحديث يضيف بروتوكولات تحقق صارمة من منشأ أوصاف cifs.spnego. ويظل وصول هذا التصحيح للمستخدمين مرتبطاً بالجدول الزمني لتحديثات كل توزيعة، ما يجعل تحديث النواة إلى أحدث إصدار متاح خطوة أمنية محورية.
أما عن إجراءات التخفيف المؤقتة لحين تطبيق التحديثات، فتتضمن تعطيل تحميل وحدة cifs في حال عدم الحاجة إليها، أو إزالة حزمة cifs-utils من الأنظمة التي لا تعتمد على مشاركات CIFS/SMB. كما يُنصح بتعطيل نطاقات المستخدم غير المميزة بعد تقييم أثر ذلك على الحاويات وأعباء العمل، أو تقييد قواعد request-key الخاصة بـ cifs.spnego في البيئات التي لا تستخدم مصادقة Kerberos.
