-
09/04/2020
-
94
-
741 bài viết
CISA cảnh báo 2 lỗ hổng nguy hiểm trong kernel Linux đang bị khai thác thực tế
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa cảnh báo 2 lỗ hổng nghiêm trọng trong kernel Linux (nhân Linux) hiện đang bị khai thác thực tế. Cả 2 đều liên quan đến lỗi truy cập ngoài phạm vi bộ nhớ (out-of-bounds access), có thể bị lợi dụng để thực thi mã tùy ý ở cấp kernel hoặc gây crash hệ thống.
Đáng chú ý, hiện chưa có bản vá chính thức được phát hành từ nhánh chính (upstream) của nhân Linux cho 2 lỗ hổng này, đặt ra nguy cơ an ninh đáng kể cho các hệ thống chưa được bảo vệ.
2 lỗ hổng có mã định danh lần lượt là CVE-2024-53197 và CVE-2024-53150. Trong đó CVE-2024-53197: Lỗi đọc ngoài phạm vi bộ nhớ trong nhân Linux, cho phép đối tượng tấn công truy xuất trái phép dữ liệu nhạy cảm hoặc gây ra sự cố hệ thống nghiêm trọng. Còn CVE-2024-53150: Lỗi ghi ngoài phạm vi, nghiêm trọng hơn, có thể bị khai thác để ghi đè bộ nhớ kernel, mở đường cho leo thang đặc quyền và thực thi mã tùy ý.
Nguyên nhân của 2 lỗ hổng là do việc xử lý sai giới hạn chỉ số mảng (array index bounds) hoặc giới hạn truy cập vùng dữ liệu (memory boundary checks) trong nhân hệ điều hành (Linux Kernel). Khi không có kiểm tra đầy đủ, mã thực thi có thể truy cập bộ nhớ ngoài phạm vi hợp lệ được cấp phát, dẫn đến hậu quả nghiêm trọng:
Trong trường hợp chưa thể cập nhật bản vá, quản trị viên cần:
Đáng chú ý, hiện chưa có bản vá chính thức được phát hành từ nhánh chính (upstream) của nhân Linux cho 2 lỗ hổng này, đặt ra nguy cơ an ninh đáng kể cho các hệ thống chưa được bảo vệ.
2 lỗ hổng có mã định danh lần lượt là CVE-2024-53197 và CVE-2024-53150. Trong đó CVE-2024-53197: Lỗi đọc ngoài phạm vi bộ nhớ trong nhân Linux, cho phép đối tượng tấn công truy xuất trái phép dữ liệu nhạy cảm hoặc gây ra sự cố hệ thống nghiêm trọng. Còn CVE-2024-53150: Lỗi ghi ngoài phạm vi, nghiêm trọng hơn, có thể bị khai thác để ghi đè bộ nhớ kernel, mở đường cho leo thang đặc quyền và thực thi mã tùy ý.
Nguyên nhân của 2 lỗ hổng là do việc xử lý sai giới hạn chỉ số mảng (array index bounds) hoặc giới hạn truy cập vùng dữ liệu (memory boundary checks) trong nhân hệ điều hành (Linux Kernel). Khi không có kiểm tra đầy đủ, mã thực thi có thể truy cập bộ nhớ ngoài phạm vi hợp lệ được cấp phát, dẫn đến hậu quả nghiêm trọng:
- Truy xuất dữ liệu vượt ngoài vùng nhớ cho phép.
- Làm rò rỉ dữ liệu nhạy cảm.
- Gây ra lỗi nghiêm trọng như kernel panic.
- Thực thi mã độc với đặc quyền cao (privilege escalation).
Trong trường hợp chưa thể cập nhật bản vá, quản trị viên cần:
- Tăng cường kiểm soát truy cập với RBAC, SELinux hoặc AppArmor.
- Tách biệt workload nhạy cảm bằng sandbox, container hoặc microVM.
- Kích hoạt hệ thống IDS/IPS như Suricata, Osquery, Wazuh.
- Tăng cường giám sát hoạt động ở cấp độ kernel: Triển khai các công cụ quan sát hành vi hệ thống như eBPF, auditd, hoặc Falco để phát hiện sớm các hành vi bất thường, truy cập trái phép hoặc hành vi có dấu hiệu khai thác lỗ hổng.
- Thực thi cơ chế cách ly quy trình (sandboxing/containerization): Cô lập các workload nhạy cảm trong môi trường an toàn như container, microVM hoặc sandbox để giới hạn phạm vi tấn công nếu lỗ hổng bị khai thác.
- Áp dụng biện pháp giảm thiểu tạm thời (temporary mitigation): Sử dụng các workaround hoặc cấu hình giảm thiểu được cung cấp bởi nhà phát hành hệ điều hành (Linux vendor) trong trường hợp chưa thể triển khai bản vá chính thức.
- Giới hạn quyền thực thi của tiến trình nhạy cảm: Rà soát và hạn chế đặc quyền của các tiến trình có khả năng tương tác trực tiếp với kernel hoặc thực hiện thao tác truy cập vùng nhớ thấp (low-level memory operations), nhằm giảm thiểu khả năng leo thang đặc quyền.
Theo linuxsecurity