Lỗ hổng 15 năm tuổi ‘GhostLock’ cho phép leo thang đặc quyền root trên hầu hết các bản phân phối Linux
Các nhà nghiên cứu vừa công bố lỗ hổng GhostLock (CVE-2026-43499), một khiếm khuyết tồn tại 15 năm trong nhân Linux, cho phép người dùng cục bộ chiếm quyền root và thoát khỏi...
Các chuyên gia tại Nebula Security vừa tiết lộ sự tồn tại của GhostLock (CVE-2026-43499), một lỗ hổng bảo mật nghiêm trọng đã tồn tại suốt 15 năm trong nhân Linux. Lỗ hổng này cho phép bất kỳ người dùng cục bộ nào đã đăng nhập có thể chiếm quyền điều khiển root hoàn toàn trên các hệ thống chưa được vá lỗi.
Theo báo cáo, đoạn mã dễ bị tổn thương này đã mặc định xuất hiện trên hầu hết các bản phân phối Linux phổ biến kể từ năm 2011. Điểm đáng chú ý là khai thác này không yêu cầu quyền đặc biệt, cấu hình bất thường hay truy cập mạng; chỉ cần các lệnh gọi luồng (threading calls) thông thường từ bất kỳ chương trình cục bộ nào là đủ để thực thi.
Cơ chế hoạt động của GhostLock
Lỗ hổng này xuất phát từ một lỗi use-after-free trong hệ thống quản lý tác vụ của nhân Linux. Trong các trường hợp hiếm hoi khi một thao tác khóa (lock) gặp bế tắc và buộc phải hủy bỏ, quá trình dọn dẹp (cleanup) lại thực hiện sai thời điểm, dẫn đến việc xóa nhầm bản ghi của tác vụ khác. Điều này khiến nhân hệ điều hành giữ lại một con trỏ trỏ đến vùng nhớ đã được giải phóng và tái sử dụng.
Nhóm nghiên cứu tại Nebula Security đã phát triển thành công mã khai thác (exploit) với độ tin cậy lên tới 97%, không chỉ chiếm quyền root mà còn có khả năng thoát khỏi môi trường container. Google đã trao thưởng 92.337 USD cho nhóm nghiên cứu thông qua chương trình kernelCTF.
Khuyến nghị bảo mật
Mặc dù chưa ghi nhận các cuộc tấn công thực tế (in the wild), nhưng mã khai thác đã được công bố công khai, khiến nguy cơ bị lạm dụng là rất cao. Người dùng cần lưu ý:
- Cập nhật nhân hệ điều hành: Cần cài đặt phiên bản nhân mới nhất từ nhà phân phối. Lưu ý rằng bản vá lỗi ban đầu có thể gây ra lỗi treo máy (CVE-2026-53166), do đó hãy đảm bảo bạn đang sử dụng bản cập nhật mới nhất đã được khắc phục hoàn toàn.
- Ưu tiên hệ thống quan trọng: Cần ưu tiên vá lỗi cho các máy chủ dùng chung, môi trường đa người thuê (multi-tenant), cloud server, container và các hệ thống CI runner.
- Giảm thiểu rủi ro: Các tùy chọn build như
RANDOMIZE_KSTACK_OFFSETvàSTATIC_USERMODE_HELPERcó thể làm tăng độ khó cho kẻ tấn công, tuy nhiên đây chỉ là các biện pháp giảm thiểu, không thay thế được việc cập nhật bản vá chính thức.
Đáng chú ý, GhostLock còn là một phần trong chuỗi tấn công IonStack, kết hợp với một lỗ hổng trên trình duyệt Firefox để thực hiện tấn công từ xa, biến một lỗi cục bộ thành mối đe dọa toàn diện đối với hệ thống.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.