Nội dung bài viết
Cả hai lỗ hổng đều cho phép người dùng không đáng tin cậy có được quyền root. Một lỗ hổng Linux cho phép các máy ảo không đáng tin cậy có quyền truy cập root vào máy chủ là một trong hai lỗ hổng nghiêm trọng cao xuất hiện trong tuần này trong hệ điều hành nguồn mở.
Lỗ hổng nằm trong KVM, về bản chất là một ứng dụng máy ảo có trong nhân của nhiều bản phân phối Linux.
Lỗ hổng bảo mật, được theo dõi là CVE-2026-53359, cho phép các máy ảo khách—chẳng hạn như các máy được sử dụng trong nền tảng đám mây cách ly phiên bản của một người dùng khỏi hệ điều hành máy chủ và các phiên bản người dùng khác—thoát ra khỏi vùng chứa đó.
Lỗ hổng này ảnh hưởng đến KVM chạy trên cả bộ xử lý AMD và Intel. Nó khai thác các lỗi tồn tại ở phía máy khách KVM, một phần của máy ảo chỉ bao gồm các tài nguyên như hệ điều hành hoặc trình điều khiển có trong máy ảo khách, thay vì các tài nguyên có trên máy chủ.
Mối đe dọa này không được chú ý trong nhân Linux suốt 16 năm. Hyunwoo Kim, nhà nghiên cứu đã phát hiện ra lỗ hổng, viết: “Chỉ với hành động của khách, kẻ tấn công có thể xâm phạm máy chủ chạy máy ảo của họ”.
“Ví dụ: kẻ tấn công chỉ thuê một phiên bản duy nhất trên đám mây công cộng có thể khiến nhân máy chủ hoảng sợ. Tôi sẽ gỡ bỏ mọi VM thuê khác trên cùng một máy vật lý (DoS) hoặc chạy mã với đặc quyền root trên máy chủ để chiếm quyền quản lý máy chủ và tất cả khách trên đó (RCE).
Kim đã đặt tên cho lỗ hổng này là Januscape. Lỗ hổng này là một lỗ hổng use-after-free—một dạng lỗ hổng hỏng bộ nhớ, đưa mã độc vào các vùng bộ nhớ được giải phóng gần đây.
Lỗ hổng nằm trong mô phỏng Shadow MMU, một quá trình dịch địa chỉ bộ nhớ máy chủ sang địa chỉ bộ nhớ ảo hóa và ngược lại. Việc khai thác sẽ chỉ kích hoạt các hành động của khách để làm hỏng trang ẩn của nhân máy chủ, một cấu trúc dữ liệu trong máy chủ hỗ trợ dịch địa chỉ.
Kim đã phát hành một khai thác bằng chứng khái niệm chạy trong máy ảo khách để gây ra sự cố trên hệ điều hành máy chủ. Ông cho biết một khai thác hoàn toàn thoát khỏi khách cũng tồn tại nhưng sẽ không được phát hành cho đến “tương lai rất xa”.
Lỗ hổng này không xảy ra trong QEMU, một quy trình riêng biệt liên quan đến dịch bộ nhớ. Sự khác biệt đó có nghĩa là các hoạt động khai thác có thể hoạt động ngay cả trong môi trường đám mây triển khai và sử dụng ngăn xếp ảo hóa của riêng chúng.
Để hoạt động khai thác, người dùng VM khách phải có quyền root. Google đã trao giải 250.000 USD cho việc báo cáo lỗ hổng bảo mật.
Một lỗ hổng riêng biệt trong Linux cho phép người dùng có quyền hạn chế truy cập vào root. Được theo dõi là CVE-2026-43499, nó đã ẩn náu trong HĐH trong 15 năm.
Các nhà nghiên cứu từ Nebula Security cho biết họ đã phát hiện ra nó bằng cách sử dụng Vega, máy quét lỗ hổng được hỗ trợ bởi AI của Nebula.
Matt Lucas, nhà nghiên cứu và người sáng lập RedEye Security, giải thích: Lỗ hổng tồn tại trong bộ máy kế thừa ưu tiên futex của kernel, hệ thống giúp một nhiệm vụ khẩn cấp không bị mắc kẹt sau một nhiệm vụ tầm thường.
Một phần của hệ thống đó là bước dọn dẹp giúp dọn dẹp sau khi một tác vụ ngừng chờ. Trong một trường hợp hiếm hoi, khi thao tác khóa đi vào ngõ cụt và phải rút lui, quá trình dọn dẹp diễn ra không đúng lúc và xóa sạch bản ghi của nhiệm vụ sai.
Hạt nhân còn lại giữ một con trỏ tới bộ nhớ mà nó đã được giải phóng và sử dụng lại. Việc tin tưởng vào con trỏ cũ đó là toàn bộ lỗi: một cách sử dụng cổ điển mà không cần sử dụng.
Từ đó, Nebula thực hiện một số bước để nâng con trỏ lơ lửng lên thành quyền kiểm soát hoàn toàn, kết thúc bằng cách lừa kernel thực thi mã của chúng với quyền root. Mã kế thừa ưu tiên futex mà họ khai thác có từ năm 2011, máy móc cũ, được sử dụng nhiều mà ít người đọc lại trong nhiều năm.
Th Lỗ hổng bảo mật mà Nebula đặt tên là GhostLock, có mức đánh giá mức độ nghiêm trọng là 7,8 trên 10. Google đã thưởng cho các nhà nghiên cứu 92.337 USD.
Giống như khoản tiền thưởng 250.000 USD được trả cho Januscript, nó được trao thông qua chương trình tiền thưởng lỗi kernelCTF của Google. Cả hai lỗ hổng đều đã nhận được bản vá trong nhân Linux.
Người dùng Linux nên kiểm tra bản phân phối của họ để đảm bảo các bản sửa lỗi đã được áp dụng cho phiên bản cụ thể của họ. Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin. Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.