Lỗ hổng Linux kernel nghiêm trọng, được định danh là CVE-2022-0492, đã được Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) bổ sung vào danh mục các lỗ hổng đã biết bị khai thác (KEV). Lỗ hổng này đang bị khai thác tích cực trong các cuộc tấn công thực tế, theo cảnh báo từ CISA. Việc vá lỗi kịp thời là cực kỳ quan trọng để giảm thiểu rủi ro bảo mật.
Chi tiết về Lỗ hổng CVE-2022-0492
Vấn đề này được phân loại là chứng thực không phù hợp (improper authentication) và ảnh hưởng đến các hệ thống Linux sử dụng tính năng release_agent của cgroups v1. Lỗ hổng này cho phép kẻ tấn công leo thang đặc quyền, có khả năng dẫn đến chiếm quyền điều khiển hệ thống.
Nguyên nhân gốc rễ của lỗ hổng
CVE-2022-0492 xuất phát từ việc xác thực và kiểm soát không đầy đủ trong cơ chế nhóm điều khiển (cgroups) của Linux kernel. Cơ chế release_agent được thiết kế để thực thi một tập lệnh khi một cgroup trở nên trống. Lỗ hổng cho phép kẻ tấn công cục bộ thao túng chức năng này.
Bằng cách khai thác hành vi này, kẻ tấn công có thể thực thi các lệnh tùy ý với đặc quyền nâng cao. Điều này có thể cho phép họ thoát khỏi môi trường container hóa hoặc giành quyền truy cập cấp root trên hệ thống máy chủ.
Ảnh hưởng đến môi trường container và cloud
Các nhà nghiên cứu bảo mật nhận định rằng lỗ hổng này đặc biệt nguy hiểm trong các môi trường container hóa và cloud-native, nơi cgroups được sử dụng rộng rãi để cô lập tài nguyên. Các hệ thống bị cấu hình sai hoặc chưa được vá lỗi có thể tạo điều kiện cho kẻ tấn công, sau khi đã có quyền truy cập ban đầu (ví dụ: thông qua một container bị xâm nhập), thực hiện breakout và giành quyền kiểm soát máy chủ bên dưới.
Xu hướng này phù hợp với việc các kẻ tấn công ngày càng nhắm mục tiêu vào các lỗ hổng cho phép thoát khỏi container để di chuyển ngang trong hạ tầng đám mây. Đây là một mối đe dọa mạng nghiêm trọng cần được chú ý.
Phân loại theo CWE
Lỗ hổng này liên quan đến CWE-287 (Chứng thực không phù hợp) và CWE-862 (Thiếu ủy quyền). Các phân loại này nhấn mạnh việc kiểm tra không đầy đủ để thực thi các ranh giới bảo mật.
Tình hình khai thác và cảnh báo
Mặc dù hiện tại chưa có bằng chứng công khai nào liên kết trực tiếp CVE-2022-0492 với các chiến dịch ransomware, việc CISA đưa lỗ hổng này vào danh mục KEV cho thấy có bằng chứng đáng tin cậy về việc nó đang bị khai thác tích cực.
Thời hạn khắc phục cho cơ quan liên bang
CISA đã yêu cầu các cơ quan liên bang khắc phục lỗ hổng này trước ngày 05 tháng 6 năm 2026, tuân thủ Chỉ thị Hoạt động Ràng buộc (BOD) 22-01. Chỉ thị này yêu cầu các cơ quan áp dụng các bản vá hoặc biện pháp giảm thiểu do nhà cung cấp cung cấp để nhanh chóng giảm thiểu rủi ro.
Khuyến nghị cho các tổ chức
Các tổ chức sử dụng các hệ thống Linux bị ảnh hưởng được khuyến khích mạnh mẽ tuân theo các mốc thời gian tương tự. Sự chậm trễ trong việc vá lỗi có thể làm tăng nguy cơ bảo mật.
Biện pháp giảm thiểu và phòng ngừa
Để giảm thiểu rủi ro liên quan đến CVE-2022-0492, các biện pháp sau đây có thể được áp dụng:
- Cập nhật Linux kernel lên phiên bản đã được vá lỗi, khắc phục sự cố
release_agent. - Vô hiệu hóa các user namespace không được ủy quyền (unprivileged user namespaces) nếu khả thi.
- Hạn chế quyền truy cập vào cấu hình cgroup.
Giám sát và kiểm tra
Các nhóm bảo mật nên kiểm tra môi trường container và giám sát các hoạt động đáng ngờ liên quan đến thao tác cgroup, vì điều này có thể cho thấy các nỗ lực khai thác.
Việc bổ sung CVE-2022-0492 vào danh mục KEV của CISA nhấn mạnh rủi ro bảo mật liên tục do các lỗ hổng leo thang đặc quyền trong các thành phần mã nguồn mở được triển khai rộng rãi.
Khi kẻ tấn công ngày càng nhắm mục tiêu vào các công nghệ nền tảng như Linux kernel, việc vá lỗi kịp thời và giám sát chủ động vẫn là yếu tố thiết yếu để bảo vệ môi trường doanh nghiệp và đám mây chống lại các mối đe dọa đang phát triển.
Tham khảo thêm thông tin chi tiết về danh mục các lỗ hổng đã biết bị khai thác tại CISA Known Exploited Vulnerabilities Catalog.
