Microsoft và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) gần đây đã đưa ra cảnh báo về một lỗ hổng bảo mật mới tồn tại trong nhân Linux, cho biết rằng sự cố này có thể ảnh hưởng đến một số lượng lớn các bản phân phối chính thống bao gồm Ubuntu, Red Hat, SUSE, Debian, Fedora, Arch Linux và Amazon (AWS) Linux và số lượng thiết bị liên quan có thể lên tới hàng triệu.

Lỗ hổng được đánh số CVE-2026-31431, với điểm CVSS là 7,8. Nó được CISA liệt kê trong danh mục "Các lỗ hổng bị khai thác đã biết". CISA coi đây là vectơ tấn công phổ biến dành cho những kẻ tấn công độc hại và gây rủi ro đáng kể cho các cơ quan liên bang và môi trường doanh nghiệp rộng lớn hơn.

hình ảnh.png

CISA đã chỉ ra trong phần tư vấn rằng đây là lỗ hổng "nhân Linux chuyển tài nguyên không chính xác giữa các miền bảo mật khác nhau". Nếu bị khai thác, nó có thể khiến các quyền cục bộ được nâng lên cấp gốc. Kiểu leo ​​thang đặc quyền cục bộ này đặc biệt nguy hiểm trong môi trường khối lượng công việc có nhiều người thuê và có nhiều container dựa trên các bản phân phối này, vì khi kẻ tấn công có được quyền truy cập ban đầu vào hệ thống, sẽ có cơ hội vi phạm cách ly hơn nữa và chiếm quyền kiểm soát toàn bộ nút.

Red Hat đã ban hành tư vấn bảo mật vào tháng trước để cung cấp giải thích kỹ thuật chi tiết hơn về vấn đề này. Theo thông báo, lỗ hổng này xuất hiện trong giao diện thuật toán mã hóa algif_aead trong nhân Linux. Do việc triển khai "hoạt động tại chỗ" không chính xác, ánh xạ bộ nhớ của dữ liệu nguồn và dữ liệu đích không nhất quán. Do đó, các vấn đề về hành vi không mong muốn hoặc tính toàn vẹn dữ liệu có thể xảy ra trong quá trình thực hiện mã hóa, do đó ảnh hưởng đến độ tin cậy của giao tiếp được mã hóa.

Các nhà nghiên cứu bảo mật của Microsoft đã tìm ra thêm lỗ hổng logic trong hệ thống con mã hóa hạt nhân và chỉ ra rằng sự cố tập trung vào việc tối ưu hóa mô-đun algif_aead trong khung AF_ALG được giới thiệu vào năm 2017. "Tối ưu hóa tại chỗ" vào thời điểm đó khiến hạt nhân sử dụng lại bộ nhớ nguồn không chính xác làm bộ đệm đích khi thực hiện một số hoạt động mã hóa nhất định. Kẻ tấn công có thể khai thác sự tương tác giữa giao diện ổ cắm AF_ALG và lệnh gọi hệ thống splice() để đạt được khả năng ghi 4 byte được kiểm soát trong bộ đệm trang kernel, từ đó giả mạo chính xác các cấu trúc dữ liệu quan trọng.

Các nhà nghiên cứu cho biết quá trình tấn công này có thể được thực hiện thông qua tập lệnh Python và các tệp nhị phân có đặc quyền cao như /usr/bin/su được sửa đổi để chúng có thể chạy trực tiếp với quyền root khi được thực thi. Không giống như nhiều cách khai thác kernel dựa vào điều kiện tương tranh, việc khai thác lỗ hổng này không dựa vào thời gian nhưng có thể được sao chép ổn định theo cách xác định thông qua một tập lệnh nhỏ khoảng 732 byte. Lỗ hổng này được coi là một phương tiện leo thang đặc quyền “có độ tin cậy cao” vì nó có thể bị khai thác thành công trên nhiều bản phân phối chính mà không cần sửa đổi nhiều.

Trong môi trường điện toán đám mây, những rủi ro do tính năng này mang lại còn cao hơn nữa. Nhiều container chia sẻ cùng một kernel máy chủ. Khi lỗ hổng này tồn tại trong phiên bản kernel cơ bản, việc vi phạm một vùng chứa duy nhất có thể lan sang toàn bộ nút bị chiếm hoàn toàn. Microsoft cảnh báo rằng ngay cả khi kẻ tấn công ban đầu chỉ có quyền truy cập hạn chế, chẳng hạn như đăng nhập với tư cách người dùng có đặc quyền thấp thông qua SSH hoặc giành được cơ hội thực thi trong đường dẫn CI/CD, thì lỗ hổng này có thể đủ để leo thang lên đặc quyền gốc, vi phạm ranh giới vùng chứa, cho phép di chuyển ngang và lây nhiễm các khối lượng công việc khác trong môi trường nhiều bên thuê.

Các hoạt động sử dụng được quan sát công khai hiện nay chủ yếu ở giai đoạn chứng minh khái niệm (PoC) và chưa được vũ khí hóa và lan rộng trên quy mô lớn. Tuy nhiên, Microsoft đã phát hành các chữ ký phát hiện thông qua Microsoft Defender XDR để giúp các tổ chức thuộc mọi loại hình xác định các nỗ lực khai thác tiềm ẩn và các hệ thống bị xâm nhập. Microsoft cũng kêu gọi nhóm bảo mật hoàn thành các bản cập nhật kernel càng sớm càng tốt sau mỗi bản phát hành cung cấp các bản vá tương ứng để loại bỏ cơ bản các rủi ro.

Cho đến khi có bản vá đầy đủ, Microsoft khuyên bạn nên thực hiện một loạt biện pháp giảm thiểu, bao gồm tạm thời vô hiệu hóa các tính năng mã hóa liên quan bị ảnh hưởng hoặc ngăn chặn việc tạo ổ cắm AF_ALG để giảm khả năng hiển thị bề mặt tấn công. Ngoài ra, cần tăng cường các chính sách kiểm soát truy cập để hạn chế phạm vi tài khoản có thể chạy mã tùy ý trên hệ thống và nên sử dụng cách ly mạng để giảm khả năng lây lan bên trong môi trường nội bộ sau một điểm xâm phạm. Đối với các nút có dấu hiệu đáng ngờ, khả năng phục hồi và xây dựng lại nhanh chóng, cùng với kiểm tra nhật ký và phát hiện hành vi, cũng là những phương tiện quan trọng để giảm rủi ro dài hạn.