CVE-2026-12505: Alvorlig fejl i cifs-utils på Linux
Fejl i cifs-utils giver lokale brugere mulighed for at overtage fuld kontrol over systemet via manipuleret roothjælper.
Hvad er det?
En sikkerhedsfejl i pakken cifs-utils — et værktøj der bruges på Linux-systemer til at oprette forbindelser til Windows-fildelinger (SMB/CIFS) — gør det muligt for en angriber at narre et hjælpeprogram, der kører med administratorrettigheder (root), til at indlæse ondsindet kode. Fejlen opstår fordi hjælpeprogrammet cifs.upcall ikke korrekt opgiver sine forhøjede rettigheder, inden det slår brugeroplysninger op. En angriber kan udnytte dette til at snyde programmet ind i et kontrolleret miljø og dermed køre vilkårlige kommandoer som systemadministrator.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer der bruger Linux-baserede servere eller arbejdsstationer med cifs-utils installeret — typisk for at tilgå delte Windows-netværksdrev. Det kræver, at angriberen allerede har en brugerkonto med begrænset adgang på det pågældende system. Det er derfor særligt relevant hvis:
- I har Linux-maskiner der er koblet til Windows-fildeling eller Active Directory
- I har flere brugere med login på samme Linux-system
- I anvender cloud- eller on-premise Linux-servere med SMB-mount
Hvad kan ske?
Hvis en angriber med en normal brugerkonto udnytter denne sårbarhed, kan vedkommende opnå fuld administratorkontrol (root) over systemet. Det betyder at angriberen kan:
- Læse, ændre eller slette alle filer på serveren — herunder fortrolige data
- Installere skadelig software eller bagdøre
- Slette sikkerhedslogfiler og skjule spor
- Bevæge sig videre til andre systemer på netværket
Et kompromitteret system kan føre til datatab, brud på persondataforordningen (GDPR) og driftstop.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.8 — Alvorlig. Angrebet kræver lokal adgang og en eksisterende brugerkonto, men selve udnyttelsen er teknisk relativt enkel (lav kompleksitet). Konsekvenserne er maksimale: fuld kontrol over fortrolighed, integritet og tilgængelighed på det ramte system. Det er klassificeret som CWE-250 (Execution with Unnecessary Privileges — kørsel med unødvendige rettigheder), hvilket er en velkendt og hyppigt udnyttet fejlkategori.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt, særligt hvis I har Linux-systemer med cifs-utils installeret:
- Identificér berørte systemer: Find alle Linux-servere og -arbejdsstationer i jeres organisation hvor cifs-utils er installeret. Din IT-ansvarlige kan køre kommandoen
dpkg -l cifs-utils(Debian/Ubuntu) ellerrpm -q cifs-utils(RHEL/CentOS) for at tjekke. - Opdatér cifs-utils: Installer den seneste opdaterede version af pakken via jeres Linux-distributions pakkehåndtering, så snart en patch er tilgængelig fra distributøren.
- Begræns lokal adgang: Sørg for at kun nødvendige medarbejdere har login-adgang til Linux-systemer med cifs-utils. Fjern unødvendige brugerkonti.
- Overvåg for mistænkelig aktivitet: Bed jeres IT-ansvarlige om at gennemse systemlogfiler for usædvanlige handlinger med forhøjede rettigheder.
- Kontakt jeres IT-leverandør: Hvis I ikke selv har ressourcer til at håndtere dette, så kontakt jeres IT-support eller en cybersikkerhedskonsulent for assistance.
Opdatér inden for 7 dage
Vi anbefaler at I prioriterer at kortlægge og opdatere alle Linux-systemer med cifs-utils installeret hurtigst muligt. Begræns samtidig antallet af brugere med lokal adgang til disse systemer, indtil en officiel patch er installeret. Denne type privilegieeskalering (når en normal bruger opnår administratorrettigheder) er en af de mest kritiske fejltyper, fordi den kan give en angriber komplet kontrol — selv uden at komme udefra. Har I brug for hjælp til at gennemgå jeres Linux-miljø, er I velkomne til at kontakte os.
Tidslinje
Konkrete eksempler
Intern medarbejder eskalerer rettigheder
En medarbejder med en normal brugerkonto på en virksomhedens Linux-filserver opdager sårbarheden. Ved at sende et særligt udformet request_key-kald narrer medarbejderen cifs.upcall-hjælpeprogrammet til at indlæse et ondsindet NSS-modul fra et kontrolleret miljø. Hermed kører medarbejderens kode med fuld root-adgang og kan tilgå alle kollegaers filer og virksomhedens fortrolige dokumenter.
Angriber bruger kompromitteret konto som springbræt
En angriber har via phishing fået adgang til en medarbejders brugernavn og adgangskode til et Linux-system. Med denne begrænsede adgang udnytter angriberen CVE-2026-12505 til at eskalere til root-rettigheder. Derfra installerer angriberen ransomware eller eksporterer virksomhedens kundedata, uden at de normale sikkerhedskontroller opdager det i tide.
Ondsindet NSS-modul bruges til bagdør
En teknisk kyndig angriber med lokal adgang opretter et skræddersyet ondsindet NSS-modul (Name Service Switch — et Linux-system til brugeroplysninger) og et tilpasset namespace-miljø. Når cifs.upcall kører med root-rettigheder og indlæser dette modul, eksekveres angriberens kode som administrator. Angriberen opretter en skjult root-bagdørskonto og bevarer permanent adgang til systemet, selv efter at den oprindelige sårbarhed patches.
Ofte stillede spørgsmål
Skal angriberen have fysisk adgang til vores server?
Nej, ikke nødvendigvis fysisk adgang — men angriberen skal have en brugerkonto med login-adgang til det berørte Linux-system. Det kan fx være en medarbejder, en underleverandør med systemadgang, eller en konto der tidligere er blevet kompromitteret via phishing eller en anden sårbarhed.
Er vi kun i fare hvis vi bruger Windows-fildelinger?
Sårbarheden er specifik for pakken cifs-utils, som primært bruges til at forbinde Linux-systemer med Windows-fildelinger (SMB). Har I ikke cifs-utils installeret på jeres Linux-systemer, er I ikke direkte berørt af denne specifikke sårbarhed.
Hvad er cifs-utils, og bruger vi det?
cifs-utils er en softwarepakke til Linux der gør det muligt at montere og tilgå delte netværksdrev i Windows-format (SMB/CIFS). Det bruges ofte i blandede it-miljøer hvor Linux- og Windows-maskiner arbejder sammen. Jeres IT-ansvarlige kan nemt tjekke om pakken er installeret på jeres systemer.
Hvad sker der hvis vi ikke handler?
Hvis en angriber med selv begrænset adgang udnytter fejlen, kan de opnå fuld kontrol over systemet — herunder adgang til alle data, mulighed for at installere skadelig software og potentielt sprede sig til andre systemer på jeres netværk. Det kan medføre databrud, GDPR-bøder og alvorlige driftsforstyrrelser.
Er der en midlertidig løsning indtil patch er klar?
Som midlertidig foranstaltning bør I begrænse antallet af brugere med lokal adgang til systemer med cifs-utils, og overveje om cifs-utils-funktionaliteten midlertidigt kan deaktiveres på systemer hvor det ikke er strengt nødvendigt. Kontakt jeres Linux-distributions sikkerhedsteam for eventuelle yderligere workarounds.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A flaw was found in the cifs-utils package where the cifs.upcall helper fails to securely drop its root privileges before looking up user information inside a user-controlled environment. A local, low privileged attacker can exploit this by using a crafted request_key payload to trick the root-owned helper into entering a custom environment (namespace) containing a malicious NSS module. This forces the system to load the attacker’s controlled NSS Module and configuration, allowing them to execute arbitrary commands as the root user, elevating their privileges and fully compromising the system.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
