Nguyễn Tiến Đạt
Intern Writer
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã chính thức bổ sung lỗ hổng CVE-2026-31431 vào danh mục Lỗ hổng bị khai thác đã biết (KEV), sau khi ghi nhận bằng chứng khai thác trong thực tế.
Đây là một lỗ hổng leo thang đặc quyền cục bộ (LPE) với điểm CVSS 7.8, cho phép người dùng không có đặc quyền giành quyền root trên hệ thống Linux. Lỗ hổng này còn được gọi là “Copy Fail” bởi các nhà nghiên cứu từ Theori và Xint.
Vấn đề xuất phát từ lỗi xử lý truyền tài nguyên trong nhân Linux, tồn tại suốt 9 năm do được hình thành từ ba thay đổi riêng lẻ vào các năm 2011, 2015 và 2017. Các bản vá đã được phát hành trong các phiên bản nhân Linux 6.18.22, 6.19.12 và 7.0.
Theo phân tích, lỗ hổng ảnh hưởng đến nhiều bản phân phối Linux từ năm 2017 trở đi. Kẻ tấn công có thể khai thác bằng cách làm hỏng bộ nhớ cache trang của nhân hệ điều hành, từ đó sửa đổi nội dung của các tệp có thể đọc được, bao gồm cả các tệp nhị phân setuid.
Điểm đáng lo ngại là việc thay đổi này diễn ra trực tiếp trong bộ nhớ, không cần ghi xuống ổ đĩa. Điều này cho phép chèn mã độc vào các tệp có đặc quyền như /usr/bin/su, từ đó chiếm quyền root mà không để lại dấu vết rõ ràng.
Điều này mở ra khả năng phá vỡ cơ chế cách ly container và thậm chí kiểm soát máy chủ vật lý. Đáng chú ý, việc khai thác không yêu cầu kỹ thuật phức tạp như race condition hay đoán địa chỉ bộ nhớ, khiến rào cản tấn công thấp hơn.
Ngoài ra, việc phát hiện tấn công cũng rất khó vì quá trình khai thác chỉ sử dụng các lệnh gọi hệ thống hợp lệ, gần như không khác gì hoạt động bình thường.
Một bằng chứng khái niệm (PoC) hoàn chỉnh đã xuất hiện, với mã khai thác Python chỉ dài 732 byte. Các biến thể viết bằng Go và Rust cũng đã được tìm thấy trên các kho mã nguồn mở.
Microsoft Defender cho biết đã ghi nhận các hoạt động thử nghiệm ban đầu và cảnh báo khả năng khai thác sẽ gia tăng trong thời gian ngắn.
Đây là một lỗ hổng leo thang đặc quyền cục bộ (LPE) với điểm CVSS 7.8, cho phép người dùng không có đặc quyền giành quyền root trên hệ thống Linux. Lỗ hổng này còn được gọi là “Copy Fail” bởi các nhà nghiên cứu từ Theori và Xint.
Vấn đề xuất phát từ lỗi xử lý truyền tài nguyên trong nhân Linux, tồn tại suốt 9 năm do được hình thành từ ba thay đổi riêng lẻ vào các năm 2011, 2015 và 2017. Các bản vá đã được phát hành trong các phiên bản nhân Linux 6.18.22, 6.19.12 và 7.0.
Theo phân tích, lỗ hổng ảnh hưởng đến nhiều bản phân phối Linux từ năm 2017 trở đi. Kẻ tấn công có thể khai thác bằng cách làm hỏng bộ nhớ cache trang của nhân hệ điều hành, từ đó sửa đổi nội dung của các tệp có thể đọc được, bao gồm cả các tệp nhị phân setuid.
Điểm đáng lo ngại là việc thay đổi này diễn ra trực tiếp trong bộ nhớ, không cần ghi xuống ổ đĩa. Điều này cho phép chèn mã độc vào các tệp có đặc quyền như /usr/bin/su, từ đó chiếm quyền root mà không để lại dấu vết rõ ràng.
Nguy cơ với container và cách khai thác không quá phức tạp
Các chuyên gia cảnh báo rằng lỗ hổng Copy Fail đặc biệt nguy hiểm trong môi trường container. Theo Kaspersky, các nền tảng như Docker, LXC và Kubernetes có thể vô tình tạo điều kiện cho khai thác nếu mô-đun algif_aead được bật, vì chúng cho phép truy cập vào hệ thống con AF_ALG.Điều này mở ra khả năng phá vỡ cơ chế cách ly container và thậm chí kiểm soát máy chủ vật lý. Đáng chú ý, việc khai thác không yêu cầu kỹ thuật phức tạp như race condition hay đoán địa chỉ bộ nhớ, khiến rào cản tấn công thấp hơn.
Ngoài ra, việc phát hiện tấn công cũng rất khó vì quá trình khai thác chỉ sử dụng các lệnh gọi hệ thống hợp lệ, gần như không khác gì hoạt động bình thường.
Một bằng chứng khái niệm (PoC) hoàn chỉnh đã xuất hiện, với mã khai thác Python chỉ dài 732 byte. Các biến thể viết bằng Go và Rust cũng đã được tìm thấy trên các kho mã nguồn mở.
Microsoft Defender cho biết đã ghi nhận các hoạt động thử nghiệm ban đầu và cảnh báo khả năng khai thác sẽ gia tăng trong thời gian ngắn.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
