Cách Cloudflare ứng phó với lỗ hổng leo thang đặc quyền ‘Copy Fail’ trên Linux
Tìm hiểu cách Cloudflare phát hiện, đánh giá và triển khai các biện pháp giảm thiểu rủi ro đối với lỗ hổng bảo mật 'Copy Fail' (CVE-2026-31431) trên nhân Linux mà không gây gián đoạn dịch...
Vào ngày 29/04/2026, một lỗ hổng leo thang đặc quyền cục bộ trên nhân Linux đã được công bố với tên gọi “Copy Fail” (CVE-2026-31431). Ngay khi thông tin được tiết lộ, đội ngũ kỹ thuật và an ninh mạng của Cloudflare đã lập tức đánh giá mức độ ảnh hưởng trên toàn bộ hạ tầng toàn cầu.
Table Of Content
Tổng quan về lỗ hổng Copy Fail
Lỗ hổng này nằm trong module algif_aead của Linux kernel, liên quan đến cách API mật mã hóa xử lý các thao tác mã hóa/giải mã thông qua socket AF_ALG. Kẻ tấn công có thể lợi dụng cơ chế splice() để ghi đè dữ liệu vào bộ nhớ cache của các tệp tin hệ thống (như tệp nhị phân setuid-root). Bằng cách thao túng 4 byte dữ liệu, kẻ tấn công có thể chèn mã độc vào các tệp tin này và thực thi với quyền root.
Quy trình ứng phó của Cloudflare
Cloudflare khẳng định không có bất kỳ dữ liệu khách hàng nào bị đe dọa và không có dịch vụ nào bị gián đoạn. Quy trình ứng phó bao gồm các bước chính:
- Đánh giá phạm vi: Xác định các phiên bản kernel đang chạy trên hệ thống và mức độ phơi nhiễm.
- Xác thực khả năng phát hiện: Hệ thống phát hiện hành vi (behavioral detection) của Cloudflare đã tự động nhận diện được mẫu khai thác (exploit pattern) chỉ trong vài phút mà không cần cập nhật chữ ký hay can thiệp thủ công.
- Truy vết lịch sử: Đội ngũ an ninh đã rà soát nhật ký hệ thống trong 48 giờ trước khi lỗ hổng được công bố để đảm bảo không có dấu hiệu xâm nhập nào xảy ra trước đó.
- Triển khai giảm thiểu rủi ro (Mitigation): Thay vì gỡ bỏ module gây lỗi (điều có thể làm hỏng các dịch vụ hợp lệ), Cloudflare đã sử dụng bpf-lsm. Công cụ này cho phép chặn các yêu cầu
socket_bindđối vớiAF_ALGtừ các tiến trình không nằm trong danh sách cho phép (allow-list).
Tại sao bpf-lsm là giải pháp tối ưu?
Cloudflare đã sử dụng prometheus-ebpf-exporter để theo dõi việc sử dụng AF_ALG trên hàng trăm nghìn máy chủ. Sau khi xác nhận chỉ có một dịch vụ nội bộ hợp lệ sử dụng socket này, họ đã triển khai chương trình bpf-lsm để chặn tất cả các truy cập trái phép. Giải pháp này giúp bảo vệ hệ thống ngay lập tức mà không cần chờ đợi quy trình reboot toàn bộ hạ tầng để cập nhật bản vá kernel mới.
Việc kết hợp giữa khả năng phát hiện hành vi chủ động và các công cụ tùy biến như bpf-lsm đã giúp Cloudflare duy trì sự an toàn cho hạ tầng trong khi chờ đợi các bản vá chính thức từ cộng đồng Linux được triển khai theo lộ trình định kỳ.
Nguồn tham khảo: Cloudflare Blog
No Comment! Be the first one.