An ninh mạng

Lỗ hổng ‘pedit COW’ trên Linux: Nguy cơ leo thang đặc quyền root từ việc đầu độc bộ nhớ đệm

Một lỗ hổng nghiêm trọng trong subsystem traffic-control của nhân Linux (CVE-2026-46331) cho phép người dùng không đặc quyền chiếm quyền root thông qua kỹ thuật đầu độc bộ nhớ đệm (page...

Nguyen Hung
26 Tháng 6, 2026 2 Min Read
1 0

Một lỗ hổng bảo mật mới trong nhân Linux, được đặt tên là “pedit COW” (mã định danh CVE-2026-46331), đang thu hút sự chú ý lớn từ cộng đồng an ninh mạng. Lỗ hổng này nằm trong subsystem traffic-control (tc) của nhân Linux, cụ thể là tại hàm act_pedit, cho phép kẻ tấn công leo thang đặc quyền lên root trên các hệ thống bị ảnh hưởng.

Table Of Content

Cơ chế tấn công

Lỗ hổng này thuộc dạng ghi dữ liệu ngoài phạm vi (out-of-bounds write). Về lý thuyết, hàm tcf_pedit_act() được thiết kế để thực hiện cơ chế copy-on-write (COW) nhằm bảo vệ dữ liệu. Tuy nhiên, do lỗi kiểm tra phạm vi ghi không chính xác, nhân Linux vô tình sửa đổi trực tiếp vào bộ nhớ đệm (page cache) thay vì bản sao riêng biệt. Kẻ tấn công có thể lợi dụng điều này để “đầu độc” các file nhị phân setuid root (như /bin/su) trong bộ nhớ, từ đó thực thi mã độc với quyền root mà không để lại dấu vết trên ổ cứng.

Để thực hiện khai thác, kẻ tấn công cần hai điều kiện: module act_pedit có thể được tải và hệ thống cho phép sử dụng unprivileged user namespaces. Điều này cung cấp quyền CAP_NET_ADMIN cần thiết để kích hoạt lỗi.

Hệ thống bị ảnh hưởng

Các thử nghiệm cho thấy lỗ hổng này ảnh hưởng đến nhiều bản phân phối phổ biến như RHEL 10, Debian 13 và các phiên bản Ubuntu. Trong khi một số hệ thống hiện đại như Ubuntu 26.04 đã có cấu hình AppArmor hạn chế user namespaces, nhân Linux bên dưới vẫn tiềm ẩn rủi ro nếu các biện pháp bảo vệ này bị vô hiệu hóa.

Khuyến nghị bảo mật

Các chuyên gia khuyến cáo quản trị viên cần thực hiện các bước sau:

  • Cập nhật bản vá: Ưu tiên cài đặt bản vá nhân Linux mới nhất từ nhà cung cấp và khởi động lại hệ thống. Đặc biệt chú ý đến các môi trường đa người dùng, CI/CD, Kubernetes nodes và các máy chủ chia sẻ tài nguyên.
  • Vô hiệu hóa module: Nếu không sử dụng act_pedit, hãy chặn module này bằng cách tạo file cấu hình trong /etc/modprobe.d/ với nội dung install act_pedit /bin/true.
  • Hạn chế User Namespaces: Nếu có thể, hãy vô hiệu hóa unprivileged user namespaces (thông qua user.max_user_namespaces=0 hoặc kernel.unprivileged_userns_clone=0), tuy nhiên cần kiểm tra kỹ vì điều này có thể ảnh hưởng đến các container rootless hoặc sandbox.

Cần lưu ý rằng việc xóa bộ nhớ đệm (drop_caches) không thể loại bỏ quyền root nếu kẻ tấn công đã thiết lập thành công shell, vì vậy các hệ thống bị nghi ngờ khai thác nên được coi là đã bị xâm nhập hoàn toàn.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept