Lỗ hổng CVE mới trên Linux kernel mang tên Fragnesia cho phép bất kỳ người dùng cục bộ không đặc quyền nào nâng quyền lên root mà không cần điều kiện race condition. Đây là một trong những lỗ hổng CVE leo thang đặc quyền cục bộ có độ tin cậy cao trong thời gian gần đây.
Lỗ hổng CVE Fragnesia Trong Linux Kernel
Fragnesia được phát hiện bởi William Bowling thuộc V12 security team. Lỗ hổng này thuộc lớp Dirty Frag, liên quan đến lỗi logic trong subsystem Linux XFRM ESP-in-TCP. Có thể tham khảo thêm thông tin nền tại NVD.
Khác với các lỗi trước đó như Dirty Pipe hay Copy Fail, Fragnesia không dựa vào race condition. Thay vào đó, nó khai thác cách kernel xử lý chế độ ESP-in-TCP ULP khi dữ liệu file đã được splice vào receive queue trước thời điểm socket chuyển sang espintcp ULP.
Cơ Chế Khai Thác
Khi TCP socket chuyển sang espintcp ULP, kernel nhầm lẫn các page của file đã nằm trong queue như thể đó là ESP ciphertext. Sai lệch này khiến một byte trong keystream của AES-GCM bị XOR trực tiếp vào page cache của file chỉ đọc.
Bằng cách chọn cẩn thận IV nonce, kẻ khai thác có thể tạo ra giá trị keystream mong muốn và thay đổi bất kỳ byte nào trong file đã cache, mỗi lần kích hoạt chỉ sửa được một byte.
Điểm đáng chú ý của lỗ hổng CVE này là dữ liệu trên đĩa không bị chỉnh sửa. Chỉ page cache trong bộ nhớ bị thay đổi, nên dấu vết trên filesystem vẫn giữ nguyên.
Ảnh Hưởng Hệ Thống Của Lỗ Hổng CVE
Exploit được mô tả có thể xây dựng bảng tra cứu 256 mục để ánh xạ toàn bộ byte keystream với nonce tương ứng. Sau đó, payload độc hại ghi đè 192 byte đầu của /usr/bin/su trong page cache bằng một ELF stub nhỏ gọi setresuid(0,0,0) và thực thi /bin/sh.
Hậu quả là khi người dùng chạy /usr/bin/su, hệ thống có thể sinh ra shell root. Vì file gốc trên đĩa không bị thay đổi, hiện tượng này phụ thuộc vào trạng thái cache và có thể lặp lại cho đến khi cache bị xóa hoặc máy được khởi động lại.
Tác động của lỗ hổng CVE này bao gồm:
- Chiếm quyền root từ tài khoản cục bộ không đặc quyền.
- Thay đổi nội dung page cache của file chỉ đọc.
- Triển khai exploit đáng tin cậy mà không cần race condition.
- Gây nguy cơ bảo mật nghiêm trọng trên Linux server chưa vá.
Trạng Thái Vá Lỗi Và Mức Độ Rủi Ro
Toàn bộ phiên bản Linux kernel bị ảnh hưởng bởi Dirtyfrag, về thực chất là mọi kernel trước ngày 13/05/2026. Bản vá đã được gửi upstream, nhưng các hệ thống chưa cập nhật vẫn còn bị phơi nhiễm trước lỗ hổng CVE này.
Do đây là lỗi leo thang đặc quyền cục bộ, quản trị viên cần ưu tiên cập nhật bản vá ngay khi có thể. Với các môi trường chưa thể vá tức thì, cần giảm thiểu rủi ro bằng cách vô hiệu hóa các module ESP bị ảnh hưởng.
Lệnh CLI Giảm Thiểu Tạm Thời
modprobe -r espintcp
modprobe -r esp4
modprobe -r esp6Sau khi khai thác xảy ra, /usr/bin/su trong page cache có thể vẫn bị sửa đổi và tiếp tục tạo shell root mỗi lần được gọi. Để xử lý trạng thái này, quản trị viên cần xóa cache hoặc reboot máy.
echo 1 | tee /proc/sys/vm/drop_cachesHoặc khởi động lại hệ thống trước khi để máy ở trạng thái không giám sát.
Proof-Of-Concept Và Khả Năng Khai Thác
Một proof-of-concept công khai đã được đăng trên GitHub, làm giảm đáng kể rào cản khai thác đối với lỗ hổng CVE này. Tham chiếu mã PoC tại: https://github.com/v12-security/pocs/tree/main/fragnesia.
Vì exploit đã có sẵn công khai, các hệ thống Linux server chưa vá cần được xem là có nguy cơ bảo mật cao. Việc phát hiện tấn công có thể cần theo dõi dấu hiệu thay đổi bất thường trong hành vi của các binary hệ thống ở trạng thái cache.
Khuyến Nghị Kỹ Thuật
Để giảm rủi ro từ lỗ hổng CVE này, cần ưu tiên triển khai bản vá upstream ngay khi có sẵn trong chuỗi cập nhật của hệ điều hành. Trong thời gian chờ vá, chỉ nên cho phép các hệ thống có module ESP cần thiết hoạt động và theo dõi chặt chẽ các máy chủ có khả năng bị xâm nhập mạng từ tài khoản cục bộ đã bị lạm dụng.
Do exploit tác động trực tiếp lên page cache, việc xác minh trạng thái hệ thống sau xử lý phải bao gồm cả việc xóa cache và kiểm tra lại các binary nhạy cảm như /usr/bin/su. Đây là bước cần thiết để hạn chế hệ thống bị tấn công tiếp diễn sau lần khai thác đầu tiên.
