-
09/04/2020
-
141
-
1.915 bài viết
Lỗ hổng 9 năm tuổi trên Linux cho phép leo thang đặc quyền lên root
Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một lỗ hổng nghiêm trọng trong nhân Linux (Linux Kernel) đã tồn tại âm thầm gần 9 năm trước khi bị phát hiện. Lỗ hổng này có thể cho phép một người dùng thông thường trên hệ thống leo thang đặc quyền lên mức cao nhất (root), đồng thời truy cập các tệp tin nhạy cảm như khóa SSH riêng tư hoặc cơ sở dữ liệu mật khẩu của hệ điều hành.
Lỗ hổng được định danh là CVE-2026-46333, có điểm nghiêm trọng CVSS 5,5/10, đồng thời được các nhà nghiên cứu đặt tên là ssh-keysign-pwn. Dù điểm CVSS ở mức trung bình, giới chuyên gia đánh giá đây là một lỗ hổng có tác động thực tế đáng kể bởi nó ảnh hưởng đến các bản cài đặt mặc định của nhiều bản phân phối Linux phổ biến như Debian, Ubuntu và Fedora.
Lỗ hổng được phát hiện như thế nào?
Lỗ hổng được phát hiện bởi các chuyên gia của Qualys trong quá trình nghiên cứu cơ chế quản lý đặc quyền của Linux Kernel.
Theo phân tích kỹ thuật, nguyên nhân xuất phát từ hàm __ptrace_may_access() trong nhân Linux. Đây là thành phần chịu trách nhiệm kiểm tra liệu một tiến trình có được phép truy cập hoặc giám sát tiến trình khác hay không.
Điều đáng chú ý là lỗi này không phải mới xuất hiện. Các nhà nghiên cứu xác định đoạn mã dễ bị tấn công đã được đưa vào Linux Kernel từ tháng 11/2016 và tồn tại xuyên suốt nhiều phiên bản trong gần một thập kỷ mà không bị phát hiện.
Theo ông Saeed Abbasi, Giám đốc bộ phận nghiên cứu mối đe dọa của Qualys, lỗ hổng này tạo ra một cơ chế khai thác ổn định, cho phép bất kỳ người dùng cục bộ nào trên hệ thống từng bước leo thang đặc quyền hoặc truy cập các dữ liệu bảo mật quan trọng.
Theo phân tích kỹ thuật, nguyên nhân xuất phát từ hàm __ptrace_may_access() trong nhân Linux. Đây là thành phần chịu trách nhiệm kiểm tra liệu một tiến trình có được phép truy cập hoặc giám sát tiến trình khác hay không.
Điều đáng chú ý là lỗi này không phải mới xuất hiện. Các nhà nghiên cứu xác định đoạn mã dễ bị tấn công đã được đưa vào Linux Kernel từ tháng 11/2016 và tồn tại xuyên suốt nhiều phiên bản trong gần một thập kỷ mà không bị phát hiện.
Theo ông Saeed Abbasi, Giám đốc bộ phận nghiên cứu mối đe dọa của Qualys, lỗ hổng này tạo ra một cơ chế khai thác ổn định, cho phép bất kỳ người dùng cục bộ nào trên hệ thống từng bước leo thang đặc quyền hoặc truy cập các dữ liệu bảo mật quan trọng.
CVE-2026-46333 hoạt động ra sao?
Bản chất của CVE-2026-46333 là lỗi quản lý đặc quyền không đúng cách (Improper Privilege Management) trong Linux Kernel.
Thông thường, Linux được thiết kế để phân tách nghiêm ngặt giữa tài khoản người dùng thông thường và tài khoản root. Tuy nhiên, lỗi trong cơ chế kiểm tra quyền truy cập tiến trình khiến kẻ tấn công có thể lợi dụng các chương trình đặc quyền (setuid programs) để vượt qua các rào cản bảo mật vốn có.
Các nhà nghiên cứu đã xây dựng thành công bốn phương thức khai thác khác nhau, nhắm vào các thành phần:
Thông thường, Linux được thiết kế để phân tách nghiêm ngặt giữa tài khoản người dùng thông thường và tài khoản root. Tuy nhiên, lỗi trong cơ chế kiểm tra quyền truy cập tiến trình khiến kẻ tấn công có thể lợi dụng các chương trình đặc quyền (setuid programs) để vượt qua các rào cản bảo mật vốn có.
Các nhà nghiên cứu đã xây dựng thành công bốn phương thức khai thác khác nhau, nhắm vào các thành phần:
- chage
- ssh-keysign
- pkexec
- accounts-daemon
Thông qua các kỹ thuật này, kẻ tấn công có thể thực thi lệnh với quyền root hoặc đọc các dữ liệu vốn chỉ dành cho quản trị viên hệ thống.
Những dữ liệu nào có thể bị đánh cắp?
Một trong những rủi ro lớn nhất của lỗ hổng là khả năng truy cập các tệp bảo mật cốt lõi của hệ thống.Theo Qualys, kẻ tấn công có thể đọc nội dung của:
- /etc/shadow – nơi lưu trữ các thông tin băm mật khẩu của người dùng Linux.
- Các khóa SSH riêng tư của máy chủ nằm trong thư mục /etc/ssh/.
Đây đều là những dữ liệu cực kỳ quan trọng đối với hệ thống Linux. Nếu khóa SSH bị lộ, tin tặc có thể giả mạo máy chủ trong các kết nối SSH hoặc sử dụng khóa bị đánh cắp để mở rộng phạm vi tấn công sang các hệ thống khác trong cùng hạ tầng.
Trong khi đó, việc truy cập được file /etc/shadow có thể tạo điều kiện cho các cuộc tấn công dò mật khẩu ngoại tuyến nhằm chiếm đoạt tài khoản quản trị.
Trong khi đó, việc truy cập được file /etc/shadow có thể tạo điều kiện cho các cuộc tấn công dò mật khẩu ngoại tuyến nhằm chiếm đoạt tài khoản quản trị.
PoC xuất hiện chỉ vài ngày sau khi bản vá được công khai
Một diễn biến đáng chú ý là mã khai thác thử nghiệm (Proof-of-Concept - PoC) cho CVE-2026-46333 đã xuất hiện công khai chỉ vài ngày sau khi thông tin sửa lỗi được đưa lên kho mã nguồn Linux.
Điều này phản ánh một thực tế quen thuộc trong cộng đồng mã nguồn mở: khi các bản vá bảo mật được công khai, giới nghiên cứu hoặc thậm chí tin tặc có thể phân tích phần mã được chỉnh sửa để suy ngược cơ chế hoạt động của lỗ hổng.
Kỹ thuật này thường được gọi là patch diffing hoặc n-day analysis, tức phân tích sự khác biệt giữa phiên bản cũ và phiên bản đã vá để nhanh chóng xây dựng công cụ khai thác đối với những hệ thống chưa cập nhật.
Chính vì vậy, khoảng thời gian giữa lúc bản vá được phát hành và thời điểm quản trị viên triển khai cập nhật thường được xem là “cửa sổ nguy hiểm” mà các nhóm tấn công đặc biệt quan tâm.
Điều này phản ánh một thực tế quen thuộc trong cộng đồng mã nguồn mở: khi các bản vá bảo mật được công khai, giới nghiên cứu hoặc thậm chí tin tặc có thể phân tích phần mã được chỉnh sửa để suy ngược cơ chế hoạt động của lỗ hổng.
Kỹ thuật này thường được gọi là patch diffing hoặc n-day analysis, tức phân tích sự khác biệt giữa phiên bản cũ và phiên bản đã vá để nhanh chóng xây dựng công cụ khai thác đối với những hệ thống chưa cập nhật.
Chính vì vậy, khoảng thời gian giữa lúc bản vá được phát hành và thời điểm quản trị viên triển khai cập nhật thường được xem là “cửa sổ nguy hiểm” mà các nhóm tấn công đặc biệt quan tâm.
Linux liên tiếp xuất hiện các lỗ hổng leo thang đặc quyền
CVE-2026-46333 không phải là trường hợp đơn lẻ. Trong vòng một tháng gần đây, cộng đồng bảo mật đã ghi nhận hàng loạt lỗ hổng leo thang đặc quyền nghiêm trọng trên Linux như:
- Copy Fail (CVE-2026-31431)
- Dirty Frag (CVE-2026-43284 và CVE-2026-43500)
- Fragnesia (CVE-2026-46300)
Các lỗ hổng này đều cho phép người dùng cục bộ thao túng bộ nhớ hoặc bộ đệm của hệ thống để giành quyền root trên máy chủ Linux.
Sự xuất hiện liên tiếp của các lỗi cùng nhóm cho thấy nhiều cơ chế xử lý bộ nhớ trong nhân Linux đang được giới nghiên cứu rà soát kỹ lưỡng hơn, kéo theo việc phát hiện ngày càng nhiều biến thể mới.
Sự xuất hiện liên tiếp của các lỗi cùng nhóm cho thấy nhiều cơ chế xử lý bộ nhớ trong nhân Linux đang được giới nghiên cứu rà soát kỹ lưỡng hơn, kéo theo việc phát hiện ngày càng nhiều biến thể mới.
PinTheft: Một lỗ hổng leo thang đặc quyền khác vừa được công bố
Cùng thời điểm, giới nghiên cứu cũng công bố mã khai thác cho một lỗ hổng khác có tên PinTheft. Lỗ hổng này khai thác lỗi double-free trong thành phần Reliable Datagram Sockets (RDS) của Linux. Khi kết hợp với cơ chế io_uring, kẻ tấn công có thể ghi đè bộ nhớ cache của hệ thống và leo thang đặc quyền lên root.
Tuy nhiên, PinTheft chỉ khả thi khi hệ thống đáp ứng một số điều kiện nhất định như:
Tuy nhiên, PinTheft chỉ khả thi khi hệ thống đáp ứng một số điều kiện nhất định như:
- Module RDS được nạp vào kernel.
- io_uring được bật.
- Tồn tại chương trình SUID-root có thể đọc được.
- Hệ thống sử dụng kiến trúc x86_64.
Mặc dù phạm vi ảnh hưởng hẹp hơn CVE-2026-46333, PinTheft tiếp tục cho thấy Linux đang đối mặt với làn sóng phát hiện các lỗ hổng leo thang đặc quyền mới trong năm 2026.
Quản trị viên cần làm gì?
Các nhà nghiên cứu khuyến nghị quản trị viên Linux triển khai bản cập nhật kernel mới nhất do nhà phân phối cung cấp càng sớm càng tốt. Trong trường hợp chưa thể cập nhật ngay, biện pháp giảm thiểu tạm thời là tăng giá trị:
Thiết lập này sẽ siết chặt quyền truy cập giữa các tiến trình và giảm khả năng khai thác lỗ hổng. Ngoài ra, đối với những máy chủ từng cho phép người dùng không đáng tin cậy đăng nhập trong khoảng thời gian chưa vá lỗi, các chuyên gia khuyến nghị:
- Thay mới toàn bộ khóa SSH của máy chủ.
- Rà soát thông tin xác thực lưu trong bộ nhớ các tiến trình đặc quyền.
- Kiểm tra dấu hiệu truy cập trái phép vào các tệp nhạy cảm.
- Theo dõi các hoạt động leo thang đặc quyền bất thường trong nhật ký hệ thống.