В ядре Linux обнаружена новая 19-ти летняя уязвимость локального повышения привилегий CIFSwitch, которая позволяет подделывать описания ключей аутентификации CIFS, использовать механизм запроса ключей ядра и получать права root.

Проблема затрагивает несколько дистрибутивов Linux, в которых используются уязвимые комбинации ядра CIFS и утилит cifs-utils (версии 6.14 и выше, хотя некоторые более старые варианты также подвержены воздействию). Обнаружение приписывается инженеру по безопасности SpaceX.

CIFS (Common Internet File System) - это сетевой протокол, позволяющий получать доступ к файлам, папкам и устройствам в локальной сети. Linux использует его для монтирования, чтения и записи данных с удаленных систем.

Если для аутентификации в сетевой папке CIFS используется Kerberos, ядро Linux запрашивает аутентификацию у вспомогательной программы в пользовательском пространстве, при этом в качестве посредника выступает набор инструментов пользовательского пространства cifs-utils.

Ядро запрашивает ключ типа cifs.spnego, а стандартная конфигурация keyutils/request-key запускает cifs.upcall от имени root для получения или создания материалов Kerberos/SPNEGO.

Проблема заключается в том, что подсистема CIFS ядра Linux не может проверить, исходят ли запросы ключа cifs.spnego от клиента CIFS ядра.

В результате, непривилегированный пользователь может создать поддельный запрос cifs.spnego и запустить обычный процесс аутентификации.

Запрос ключа cifs.spnego используется подсистемой ключей Linux для получения данных аутентификации, необходимых клиенту CIFS/SMB при подключении к сетевому ресурсу с использованием аутентификации Kerberos/SPNEGO.

Уязвимость позволяет вспомогательной функции cifs.upcall с правами root доверять полям, контролируемым злоумышленником, которые, как она предполагает, были сгенерированы ядром.

Используя эти поля для принудительного переключения пространства имен, а затем инициируя поиск службы имен (NSS) до потери привилегий, локальный злоумышленник может загрузить вредоносный модуль NSS и добиться выполнения кода с правами root.

В свою очередь, Manizada опубликовала подробный технический отчет с объяснением причин проблемы и то, как ее можно использовать для получения прав root.

Эксплуатация зависит от нескольких факторов, таких как уязвимая версия ядра. К другим необходимым условиям относятся уязвимая версия cifs-utils, наличие пространств имен пользователей и политики SELinux/AppArmor, не блокирующие атаку.

Manizada подтвердила уязвимость следующих дистрибутивов при использовании конфигураций по умолчанию: Linux Mint 21.3 / 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux 2021.4–2026.1 и SLES 15 SP7.

Различные версии Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux и Amazon Linux также могут быть уязвимы, если установлен пакет cifs-utils.

Однако существуют также версии, такие как Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 и openSUSE Leap 16, где настройки SELinux/AppArmor по умолчанию предотвращают эксплуатацию уязвимости CIFSwitch.

Кроме того, Amazon Linux 2 и Kali Linux 2019.4 и 2020.4 никак не затронуты, поскольку в их версиях cifs-utils отсутствует функциональность переключения пространств имен.

Проблема с CIFSwitch была исправлена с помощью патча ядра, который добавляет проверку источников запросов cifs.spnego (коммит 3da1fdf в основной ветке разработки), но точные версии ядра, в которых включен этот патч, различаются в зависимости от дистрибутива.

Исследователи рекомендуют пользователям отключать или добавлять в черный список модуль CIFS, если он не используется, удалять пакет cifs-utils, если он не нужен, и отключать пространства имен для непривилегированных пользователей.

Manizada опубликовала также демонстрационный PoC, который может помочь проверить эффективность примененных исправлений и мер по устранению уязвимостей.

Исследователи Лаборатории Касперского в своем новом отчете рассмотрели основные векторы атак на контейнеры, которые остаются наиболее актуальными на сегодняшний день.

Современные инфраструктуры повсеместно используют контейнеризацию для развертывания приложений, масштабирования сервисов и построения облачных платформ. Docker, Kubernetes и другие технологии стали стандартом эффективной автоматизации для корпоративных сред.

Но вместе с ростом популярности контейнеров увеличивается и интерес злоумышленников к этой технологии, что прослеживается исследователями ЛК в рамках исследований сложных киберугроз.

В частности, APT-группа TeamPCP в одной из своих недавних атак скомпрометировала Checkmarx KICS в контексте сразу нескольких цепочек для разных векторов, включая заражение репозитория Docker Hub для дальнейшей кражи секретов Kubernetes и чувствительной информации. В зараженных образах распространялся стилер, который загружался в процессе сканирования KICS.

На сегодняшний день атаки на контейнерные среды представляют собой полноценные многоэтапные сценарии, включающие атаку на цепочку поставок, кражу секретов Kubernetes, злоупотребление API оркестрации и попытки побега из контейнера.

В целом современные атаки на контейнерные среды показывают, что основная угроза возникает не только внутри самого контейнера, но и в реализации контейнерной инфраструктуры.

Контейнеры часто используются как промежуточная среда для закрепления внутри системы: после первоначальной компрометации злоумышленники стремятся либо выйти на уровень хостовой ОС, либо получить доступ к управлению инфраструктурой через API контейнеризации и оркестрации.

Для этого эксплуатируются слабые конфигурации, избыточные привилегии и ошибки в изоляции. Кроме того, наблюдается тенденция смещения атак в сторону конвейеров CI/CD, где компрометация одной части может привести к захвату всей инфраструктуры.

Поэтому безопасность контейнерных сред в текущих реалиях включает в себя защиту хоста, строгий контроль прав в оркестраторе, минимизацию привилегий контейнеров и валидацию всей цепочки поставки.

Разбор актуальных векторов атак - в отчете.

Cisco выпустила обновления для устранения критической уязвимости в Unified Communications Manager (Unified CM), которая позволяла злоумышленникам получить права root.

Cisco Unified CM (ранее известная как Cisco CallManager) служит центральной системой IP-телефонии Cisco, отвечающей за управление устройствами, маршрутизацию вызовов и функции телефонии.

Уязвимость отслеживается как CVE-2026-20230 и может быть удаленно использована злоумышленниками без привилегий для осуществления атак с подделкой запросов на стороне сервера (SSRF) низкой сложности.

Злоумышленник может использовать ее, отправив специально сформированный HTTP-запрос на затронутое устройство. Успешная эксплуатация позволит записывать файлы в базовую ОС, которые впоследствии могут быть использованы для получения прав root.

Cisco (PSIRT) предупреждает о наличии общедоступного PoC-эксплойта для CVE-2026-20230, но пока не обнаружила доказательств активной эксплуатации или целенаправленного воздействия.

Следует отметить, что уязвимость затрагивает только системы, в которых служба WebDialer включена (по умолчанию отключен).


Обходных путей для устранения этой уязвимости не существует, но настоятельно рекомендуется установить Cisco Unified CM версий 14SU6 или 15SU5 (сентябрь 2026 г. или COP), или же отключить службу WebDialer до установки патча, блокирующего входящие атаки на CVE-2026-20230.

Продолжаем делиться подробностями наиболее серьезных и трендовых уязвимостей, на сегодня подборка выглядит следующим образом:

1. Исследователи 0x12 Dark Development выкатили подробности новой техники под названием Bring Your Own RWX Region DLL (BYORWXDLL).

Вместо загрузки устаревшего драйвера для эксплуатации, эта техника загружает легитимные DLL с предопределенными RWX (чтение+запись+выполнение) областями памяти, которые могут быть использованы для внедрения шеллкода.

2. Manifold обнаружила уязвимость в сервере n8n MCP, которая может позволить злоумышленникам получить доступ к данным других арендаторов в многопользовательских средах n8n.

3. Исследователь обнаружил уязвимость в GitHub Action от Anthropic под названием Claude Code, которая позволяла злоумышленнику захватывать уязвимые общедоступные репозитории, использующие этот инструмент, имея при себе лишь одну открытую задачу на GitHub. 

Поскольку собственный репозиторий Action от Anthropic использовал тот же рабочий процесс, успешная атака могла бы внедрить вредоносный код в сам Action и в проекты, которые его используют.

О проблеме сообщила GMO Flatt Security, а Anthropic устранила её в течение четырёх дней. Исправления включены в пакет claude-code-action v1.0.94. Anthropic оценила проблему на 7,8 балла по стандарту CVSS v4.0 и выплатила вознаграждение за обнаружение ошибки.

4. Исследователи SafeBreach обнаружили критическую уязвимость в голосовом помощнике Google Gemini, которая позволяла злоумышленникам захватить контроль над ИИ, используя косвенные подсказки, передаваемые через обычные уведомления в мессенджерах.

Основываясь на своих предыдущих исследованиях, SafeBreach обнаружила в целом новый класс атак, названный Fake Context Alignment.

5. Хакеры активно используют критическую уязвимость в плагине WordPress Everest Forms Pro с 4000 активными установками для выполнения произвольного кода, что может привести к полной компрометации сайта.

Речь идёт о CVE-2026-3300 (CVSS: 9.8), представляющей собой ошибку удалённого выполнения кода, затрагивающую все версии плагина вплоть до 1.9.12 включительно. Патч для этой уязвимости был выпущен 18 марта 2026 года в версии 1.9.13.

6. После публикации кода эксплойта Cisco так и исправила CVE-2026-20230 в Unified Communications Manager, которая позволяла неавторизованному злоумышленнику в сети записывать файлы на устройство и оттуда получать права root. Cisco заявляет, что атак пока не зафиксировано. 

7. В Tier Zero Security нашли способ обойти Mark of the Web, используя вредоносный код, скрытый в файлах .targets NuGet. Задачи в этих файлах запускаются автоматически при установке или обновлении библиотек NuGet. MSRC назвала это не ошибкой, а технической особенностью.

8. В ПО для управления проектами SOPlanning закрыто семь ошибок, в том числе несколько довольно серьезных, которые могли быть использованы для SQL-инъекций, кражи резервных копий, атак с обходом пути и многого другого.

9. OpenSSL объявила об обновлениях на в рамках PatchTuesday. Ничего критического, но есть несколько ошибок высокой степени серьезности.

10. Израильский исследователь Йени Шерез опубликовал отчет в отношении DarkReplica (CVE-2026-23631), RCE-уязвимости после аутентификации в Redis, которую он реализовал на прошлогоднем хакерском конкурсе ZeroDayCloud.

11. Уязвимость в межсетевом экране Comodo Internet Security способна привести к сбою системы Windows всего одним пакетом данных.

Ошибка вызвана проблемой анализа IP в драйвере межсетевого экрана. Она до сих пор не устранена, поскольку производитель не ответил исследователю Маркусу Хатчинсу. PoC также имеется.

12. CISA предупреждает о критической уязвимости CVE-2026-45247 (CVSS 9,8) в расширении Mirasvit Full Page Cache Warmer для Magento 2, которая используется злоумышленниками для RCE.

Как отмечает Sansec, Злоумышленники могут использовать уязвимость Mirasvit, внедряя в cookie-файл CacheWarmer специально созданные сериализованные PHP-объекты, которые десериализуются без ограничения классов, которые могут быть созданы.