Nội dung bài viết
Các bản vá phiên bản sản xuất đang có sẵn trực tuyến và cần được cài đặt ngay.
Người dùng Linux đã bị tấn công bởi một lỗ hổng khác cung cấp cho các bộ chứa và người dùng không đáng tin cậy khả năng giành quyền truy cập root, đánh dấu lần thứ hai trong nhiều tuần một mối đe dọa nghiêm trọng khiến những người bảo vệ mất cảnh giác.
Mối đe dọa, được gọi là Dirty Frag, cho phép người dùng có đặc quyền thấp, bao gồm cả những người sử dụng máy ảo, giành quyền kiểm soát root của máy chủ. Các cuộc tấn công đặc biệt phù hợp trong môi trường dùng chung, nơi một máy chủ được nhiều bên sử dụng.
Tin tặc cũng có thể lấy được quyền root miễn là chúng có quyền truy cập vào một cách khai thác riêng biệt giúp xâm nhập vào máy. Mã khai thác đã bị rò rỉ trực tuyến ba ngày trước và hoạt động đáng tin cậy trên hầu hết các bản phân phối Linux.
Microsoft cho biết họ đã phát hiện các dấu hiệu cho thấy tin tặc đang thử nghiệm Dirty Frag trên thực tế. Việc khai thác bị rò rỉ mang tính quyết định, có nghĩa là nó hoạt động chính xác theo cùng một cách mỗi lần chạy và trên các bản phân phối Linux khác nhau.
Nó không gây ra sự cố, khiến nó chạy lén lút. Một lỗ hổng có tên Copy Fail, được tiết lộ vào tuần trước và không có bản vá nào cho người dùng cuối, cũng có những đặc điểm tương tự.
“‘Dirty Frag’ vu Các nhà nghiên cứu từ công ty bảo mật Aviatrix đã viết hôm thứ Hai.
"Với các cách khai thác bằng chứng khái niệm được công bố công khai và các dấu hiệu khai thác ngoài tự nhiên bị hạn chế, các tổ chức phải hành động nhanh chóng để áp dụng các bản vá và thực hiện các biện pháp giảm nhẹ để bảo vệ hệ thống của họ khỏi sự xâm phạm tiềm ẩn".
Dirty Frag được nhà nghiên cứu Hyunwoo Kim phát hiện và tiết lộ vào cuối tuần trước. Các chuỗi khai thác cùng nhau mã để khai thác hai lỗ hổng—được theo dõi là CVE-2026-43284 và CVE-2026-43500.
Ngay sau khi tiết lộ, một người khác đã rò rỉ các chi tiết quan trọng, khiến lỗ hổng này trở thành lỗ hổng zero-day. Cùng với đó, Kim đã công bố mã nguồn của cách khai thác bằng chứng khái niệm mà ông đã phát triển.
Mặc dù cả hai lỗ hổng đều được vá trong nhân Linux nhưng không có bản phân phối nào tích hợp bản sửa lỗi. Vào thời điểm bài đăng này được đăng trực tuyến, một số nhà phân phối đã phát hành bản vá.
Các nhà phân phối được biết đến bao gồm Debian, AlmaLinux và Fedora. Những người quan tâm đến các bản phân phối khác nên kiểm tra với nhà cung cấp chính thức.
Cả hai đặc quyền Các lỗ hổng leo thang xuất phát từ các lỗi trong quá trình xử lý bộ đệm trang được lưu trữ trong bộ nhớ của kernel, cho phép người dùng không đáng tin cậy sửa đổi chúng. Chúng nhắm mục tiêu vào bộ đệm trong các thành phần xử lý phân đoạn bộ nhớ và mạng.
Cụ thể, CVE-2026-43284 tấn công các tiến trình Esp4 và Esp6 (), còn CVE-2026-43500 tấn công vào rxrpc. CopyFail tuần trước đã khai thác bộ nhớ đệm trang bị lỗi trong quy trình mẫu AEAD xác thực, được sử dụng cho các số chuỗi mở rộng IPsec.
Lỗ hổng năm 2022 có tên Dirty Pipe cũng xuất phát từ lỗ hổng cho phép kẻ tấn công ghi đè bộ đệm trang. Dirty Frag thuộc cùng họ lỗi với Dirty Pipe và Copy Fail, nhưng nó nhắm vào thành viên mảnh của struct sk_buff của kernel chứ không phải pipe_buffer.
Việc khai thác sử dụng splice() để tạo tham chiếu đến trang bộ đệm trang chỉ đọc (ví dụ: /etc/passwd hoặc /usr/bin/su ) vào vị trí phân đoạn của skb phía người gửi. Sau đó, mã hạt nhân bên nhận sẽ thực hiện các hoạt động mã hóa tại chỗ trên đoạn đó, sửa đổi bộ đệm trang trong RAM.
Mỗi lần đọc tệp tiếp theo sẽ thấy phiên bản bị hỏng, mặc dù kẻ tấn công chỉ có quyền truy cập đọc. CVE-2026-43284 được tìm thấy trong tiến trình Esp_input() trên IPsec ES Đường dẫn nhận P.
Khi một đối tượng skb không tuyến tính nhưng thiếu danh sách phân đoạn, mã sẽ bỏ qua skb_cow_data() và giải mã AEAD tại chỗ trên phân đoạn được trồng. Từ đó, kẻ tấn công có thể kiểm soát offset của tệp và giá trị 4 byte của mỗi cửa hàng.
Trong khi đó, CVE-2026-43500 nằm trong rxkad_verify_packet_1(). Quá trình giải mã tải trọng RxRPC bằng quy trình một khối.
Các trang được ghim nối vừa trở thành nguồn vừa là đích. Điều đó, kết hợp với khóa giải mã được trích xuất tự do bằng add_key (rxrpc), cho phép kẻ tấn công ghi lại nội dung trong bộ nhớ.
Khai thác được sử dụng riêng biệt là không đáng tin cậy. Một số cấu hình Ubuntu sử dụng AppArmor để ngăn người dùng không đáng tin cậy tạo nội dung không gian tên.
Điều đó sẽ vô hiệu hóa kỹ thuật ESP. Theo mặc định, hầu hết các bản phân phối khác không chạy rxrpc.ko, tính năng này sẽ vô hiệu hóa nhánh RxRPC.
Tuy nhiên, khi được kết hợp với nhau, hai cách khai thác này cho phép kẻ tấn công chiếm được quyền root trên mọi bản phân phối chính mà Kim đã thử nghiệm.
Sau khi hoạt động khai thác, kẻ tấn công có thể sử dụng quyền truy cập SSH, thực thi web-shell, thoát vùng chứa hoặc xâm phạm các tài khoản có đặc quyền thấp.
“Dirty Frag đáng chú ý vì nó giới thiệu nhiều đường dẫn tấn công kernel liên quan đến rxrpc và đặc biệt/xfrm ne các thành phần hoạt động để cải thiện độ tin cậy khai thác,” các nhà nghiên cứu của Microsoft viết.
“Thay vì dựa vào các khoảng thời gian hẹp hoặc các điều kiện tham nhũng không ổn định thường liên quan đến việc khai thác leo thang đặc quyền cục bộ của Linux, Dirty Frag dường như được thiết kế để tăng tính nhất quán trên các môi trường dễ bị tổn thương.” Các nhà nghiên cứu tại Wiz thuộc sở hữu của Google cho biết việc khai thác sẽ ít có khả năng thoát ra khỏi các môi trường được đóng gói cứng như Kubernets với cài đặt bảo mật mặc định.
“Tuy nhiên, rủi ro vẫn còn đáng kể đối với các máy ảo hoặc môi trường ít bị hạn chế hơn”. Phản ứng tốt nhất cho bất kỳ ai sử dụng Linux là cài đặt các bản vá ngay lập tức.
Mặc dù các bản sửa lỗi có thể yêu cầu khởi động lại, nhưng việc bảo vệ khỏi mối đe dọa nghiêm trọng như Dirty Frag sẽ lớn hơn chi phí do gián đoạn. Bất kỳ ai không thể cài đặt ngay lập tức nên làm theo các bước giảm nhẹ được trình bày trong các bài đăng được liên kết ở trên.
Hướng dẫn bổ sung có thể được tìm thấy ở đây. Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin. Rốt cuộc, bạn không cần d để biết mọi thứ, chỉ những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.