-
09/04/2020
-
141
-
1.907 bài viết
Linux liên tiếp xuất hiện lỗ hổng leo thang đặc quyền, mã khai thác đã bị công khai
Hệ sinh thái Linux đang đối mặt với làn sóng lỗ hổng mới sau khi mã khai thác thử nghiệm (PoC) cho một lỗi leo thang đặc quyền cục bộ mang tên DirtyDecrypt bị công khai trên GitHub. Giới chuyên gia cảnh báo các lỗ hổng mới không chỉ cho phép người dùng thông thường chiếm quyền root trên máy Linux mà còn có thể mở đường cho các cuộc tấn công thoát container, ảnh hưởng tới máy chủ doanh nghiệp, hệ thống cloud và hạ tầng DevOps.
Lỗ hổng mới nhất được định danh là CVE-2026-31635 với điểm CVSS 7,5, do nhóm nghiên cứu bảo mật Zellic và V12 phát hiện. Theo các nhà nghiên cứu, đây là một biến thể mới của chuỗi lỗ hổng “Copy-on-Write” từng gây chấn động cộng đồng Linux trong nhiều năm qua.
DirtyDecrypt là gì và nguy hiểm ra sao?
DirtyDecrypt, còn được gọi là DirtyCBC, là một lỗ hổng leo thang đặc quyền cục bộ nằm trong nhân Linux. Điểm nguy hiểm của lỗi này nằm ở việc kẻ tấn công có thể ghi dữ liệu vào vùng bộ nhớ dùng chung của hệ thống mà không bị cơ chế bảo vệ Copy-on-Write (COW) ngăn chặn.
Trong Linux, COW là cơ chế giúp hệ điều hành đảm bảo khi nhiều tiến trình cùng sử dụng chung một vùng dữ liệu, việc chỉnh sửa sẽ tạo ra bản sao riêng thay vì tác động trực tiếp lên dữ liệu gốc. Tuy nhiên, ở DirtyDecrypt, lớp bảo vệ này bị thiếu trong hàm rxgk_decrypt_skb(), khiến dữ liệu có thể bị ghi trực tiếp vào page cache hoặc vùng nhớ của các tiến trình đặc quyền.
Điều này tạo điều kiện để hacker sửa đổi các file nhạy cảm như:
Trong Linux, COW là cơ chế giúp hệ điều hành đảm bảo khi nhiều tiến trình cùng sử dụng chung một vùng dữ liệu, việc chỉnh sửa sẽ tạo ra bản sao riêng thay vì tác động trực tiếp lên dữ liệu gốc. Tuy nhiên, ở DirtyDecrypt, lớp bảo vệ này bị thiếu trong hàm rxgk_decrypt_skb(), khiến dữ liệu có thể bị ghi trực tiếp vào page cache hoặc vùng nhớ của các tiến trình đặc quyền.
Điều này tạo điều kiện để hacker sửa đổi các file nhạy cảm như:
- /etc/shadow
- /etc/sudoers
- Các file thực thi SUID
Từ đó, kẻ tấn công có thể leo thang đặc quyền và giành quyền root trên hệ thống.
Cơ chế khai thác hoạt động như thế nào?
Theo phân tích kỹ thuật, lỗ hổng nằm trong subsystem RXGK của Linux kernel, cụ thể là quá trình xử lý giải mã dữ liệu mạng trong rxgk_decrypt_skb().
Thông thường, khi kernel thao tác với vùng nhớ đang được chia sẻ giữa nhiều tiến trình, Linux sẽ kích hoạt cơ chế Copy-on-Write để tạo bản sao an toàn trước khi ghi dữ liệu mới.
Tuy nhiên, trong trường hợp này, quá trình kiểm tra COW đã bị bỏ sót. Điều đó cho phép dữ liệu độc hại ghi đè trực tiếp lên page cache của file hệ thống hoặc tiến trình có quyền cao hơn.
Khi page cache bị sửa đổi, hacker có thể thay đổi nội dung của file hệ thống dù không có quyền root ban đầu. Sau khi ghi thành công vào các file đặc quyền, kẻ tấn công chỉ cần thực hiện một số thao tác bổ sung để chiếm toàn quyền hệ thống. Các nhà nghiên cứu cho biết mã PoC hiện đã hoạt động thành công trong môi trường thử nghiệm.
Thông thường, khi kernel thao tác với vùng nhớ đang được chia sẻ giữa nhiều tiến trình, Linux sẽ kích hoạt cơ chế Copy-on-Write để tạo bản sao an toàn trước khi ghi dữ liệu mới.
Tuy nhiên, trong trường hợp này, quá trình kiểm tra COW đã bị bỏ sót. Điều đó cho phép dữ liệu độc hại ghi đè trực tiếp lên page cache của file hệ thống hoặc tiến trình có quyền cao hơn.
Khi page cache bị sửa đổi, hacker có thể thay đổi nội dung của file hệ thống dù không có quyền root ban đầu. Sau khi ghi thành công vào các file đặc quyền, kẻ tấn công chỉ cần thực hiện một số thao tác bổ sung để chiếm toàn quyền hệ thống. Các nhà nghiên cứu cho biết mã PoC hiện đã hoạt động thành công trong môi trường thử nghiệm.
Những hệ thống Linux nào bị ảnh hưởng?
DirtyDecrypt không ảnh hưởng tới toàn bộ Linux mà chỉ tác động tới các bản phân phối bật tùy chọn CONFIG_RXGK. Hiện các distro được xác nhận chịu ảnh hưởng gồm:
- Fedora
- Arch Linux
- openSUSE Tumbleweed
Trong môi trường container hoặc Kubernetes, nguy cơ còn nghiêm trọng hơn khi hacker có thể lợi dụng lỗ hổng để thoát khỏi container và tấn công node vật lý phía dưới. Điều này đặc biệt đáng lo ngại với các doanh nghiệp vận hành cloud, CI/CD pipeline hoặc hạ tầng microservices.
DirtyDecrypt không phải trường hợp duy nhất
Điều khiến cộng đồng bảo mật lo ngại là DirtyDecrypt chỉ là một phần trong chuỗi lỗ hổng leo thang đặc quyền liên tiếp xuất hiện trên Linux trong vài tuần gần đây.
Trước đó, giới nghiên cứu đã công bố:
Trước đó, giới nghiên cứu đã công bố:
- Copy Fail (CVE-2026-31431)
- Dirty Frag (CVE-2026-43284, CVE-2026-43500)
- Fragnesia (CVE-2026-46300)
Các lỗi này đều có điểm chung là khai thác vấn đề quản lý page cache và Copy-on-Write trong kernel Linux để ghi đè dữ liệu nhạy cảm và chiếm quyền root.
Trong lĩnh vực an ninh mạng, đây là kỹ thuật thường được gọi là “patch diffing” hoặc “n-day weaponization” tức là hacker hoặc researcher phân tích bản vá để suy ngược cơ chế lỗ hổng trên các hệ thống chưa kịp cập nhật.
Ngoài ra, hai lỗ hổng khác cũng vừa được công bố gồm:
- Pack2TheRoot (CVE-2026-41651, CVSS 8,8): lỗi trong PackageKit daemon cho phép leo thang đặc quyền
- ssh-keysign-pwn (CVE-2026-46333, CVSS 5,5): lỗi quản lý đặc quyền cho phép đọc khóa SSH riêng của root
Nhiều bản phân phối Linux lớn như Ubuntu, Red Hat, Fedora, SUSE, AlmaLinux và Amazon Linux đã phát hành cảnh báo bảo mật liên quan tới các lỗi này.
Vì sao Linux liên tục xuất hiện lỗi kiểu này?
Theo giới chuyên gia, phần lớn các lỗ hổng mới đều liên quan tới cơ chế quản lý bộ nhớ và tối ưu hiệu năng của kernel Linux.
Các tính năng như page cache, shared memory hay zero-copy networking giúp Linux đạt hiệu năng rất cao trên server và cloud. Tuy nhiên, chúng cũng làm tăng độ phức tạp của kernel. Chỉ một sai sót nhỏ trong quá trình kiểm tra quyền ghi bộ nhớ cũng có thể tạo ra lỗ hổng cho phép ghi đè dữ liệu hệ thống.
Nhiều nhà nghiên cứu nhận định Linux đang bước vào giai đoạn “bùng nổ biến thể Copy-on-Write”, tương tự thời kỳ Dirty COW từng gây ảnh hưởng diện rộng nhiều năm trước.
Một phần nguyên nhân khiến mã khai thác PoC xuất hiện nhanh là do bản vá của Linux kernel đã được đưa công khai lên kho mã nguồn trước khi thời gian “embargo” kết thúc hoàn toàn. Một nhà nghiên cứu khác sau đó đã phân tích phần code được chỉnh sửa trong commit vá lỗi, nhận ra đây là đường dẫn có thể bị lợi dụng để leo thang đặc quyền và tự xây dựng thành công mã khai thác thử nghiệm.
Các tính năng như page cache, shared memory hay zero-copy networking giúp Linux đạt hiệu năng rất cao trên server và cloud. Tuy nhiên, chúng cũng làm tăng độ phức tạp của kernel. Chỉ một sai sót nhỏ trong quá trình kiểm tra quyền ghi bộ nhớ cũng có thể tạo ra lỗ hổng cho phép ghi đè dữ liệu hệ thống.
Nhiều nhà nghiên cứu nhận định Linux đang bước vào giai đoạn “bùng nổ biến thể Copy-on-Write”, tương tự thời kỳ Dirty COW từng gây ảnh hưởng diện rộng nhiều năm trước.
Một phần nguyên nhân khiến mã khai thác PoC xuất hiện nhanh là do bản vá của Linux kernel đã được đưa công khai lên kho mã nguồn trước khi thời gian “embargo” kết thúc hoàn toàn. Một nhà nghiên cứu khác sau đó đã phân tích phần code được chỉnh sửa trong commit vá lỗi, nhận ra đây là đường dẫn có thể bị lợi dụng để leo thang đặc quyền và tự xây dựng thành công mã khai thác thử nghiệm.
Linux đang tính tới “killswitch” khẩn cấp cho kernel
Trước làn sóng lỗ hổng mới, các nhà phát triển Linux kernel đang xem xét một cơ chế “killswitch” khẩn cấp. Ý tưởng này cho phép quản trị viên vô hiệu hóa tạm thời một hàm kernel đang có lỗ hổng ngay trong lúc hệ thống hoạt động, thay vì phải chờ bản vá chính thức.
Theo đề xuất của nhà phát triển Sasha Levin, killswitch có thể buộc một hàm kernel trả về giá trị cố định mà không thực thi mã bên trong. Điều này giúp giảm nguy cơ khai thác zero-day trong thời gian chờ cập nhật. Tuy nhiên, cơ chế này cũng gây tranh cãi vì có thể ảnh hưởng tới tính ổn định của kernel nếu bị lạm dụng hoặc cấu hình sai.
Theo đề xuất của nhà phát triển Sasha Levin, killswitch có thể buộc một hàm kernel trả về giá trị cố định mà không thực thi mã bên trong. Điều này giúp giảm nguy cơ khai thác zero-day trong thời gian chờ cập nhật. Tuy nhiên, cơ chế này cũng gây tranh cãi vì có thể ảnh hưởng tới tính ổn định của kernel nếu bị lạm dụng hoặc cấu hình sai.
Rocky Linux tung “security repository” để vá khẩn
Song song với đó, Rocky Linux cũng công bố một kho cập nhật bảo mật tùy chọn mới nhằm phát hành các bản vá khẩn cấp nhanh hơn trong trường hợp zero-day bị công khai trước khi upstream phát hành patch chính thức.
Theo nhóm phát triển Rocky Linux, repository này mặc định bị tắt để đảm bảo tính ổn định hệ thống. Quản trị viên có thể chủ động bật khi cần nhận các bản vá bảo mật khẩn cấp.
Mô hình này được xem là nỗ lực cân bằng giữa tính ổn định truyền thống của Linux enterprise và nhu cầu phản ứng nhanh trước các lỗ hổng zero-day hiện đại.
Theo nhóm phát triển Rocky Linux, repository này mặc định bị tắt để đảm bảo tính ổn định hệ thống. Quản trị viên có thể chủ động bật khi cần nhận các bản vá bảo mật khẩn cấp.
Mô hình này được xem là nỗ lực cân bằng giữa tính ổn định truyền thống của Linux enterprise và nhu cầu phản ứng nhanh trước các lỗ hổng zero-day hiện đại.
Các chuyên gia khuyến nghị gì?
Các chuyên gia an ninh mạng cảnh báo doanh nghiệp sử dụng Linux cần tăng tốc quy trình quản lý bản vá, đặc biệt với các hệ thống cloud và container. Một số khuyến nghị quan trọng gồm:
- Cập nhật kernel Linux lên phiên bản mới nhất ngay khi có bản vá
- Theo dõi advisory từ distro đang sử dụng
- Giới hạn quyền local shell đối với người dùng không tin cậy
- Tăng cường giám sát thay đổi bất thường trong /etc/shadow, /etc/sudoers
- Kiểm tra nguy cơ container escape trên Kubernetes và Docker
- Kích hoạt SELinux/AppArmor để giảm tác động leo thang đặc quyền
- Theo dõi các PoC mới xuất hiện công khai trên GitHub hoặc diễn đàn bảo mật
Chỉnh sửa lần cuối: