Một lỗ hổng use-after-free trong phân hệ nftables của nhân Linux đã được phát hiện, cho phép kẻ tấn công cục bộ không có đặc quyền leo thang đặc quyền lên root trên các bản phân phối phổ biến. Các bản phân phối bị ảnh hưởng bao gồm Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS và Ubuntu 24.04 LTS. Đây là một mối đe dọa mạng nghiêm trọng. Lỗ hổng này được theo dõi với mã định danh CVE-2026-23111.
Chi tiết về CVE-2026-23111
Lỗ hổng được phát hiện vào đầu năm 2025 và đã được vá upstream vào ngày 5 tháng 2 năm 2026 thông qua một commit nhân Linux. Nhà nghiên cứu bảo mật Oliver Sieber từ Exodus Intelligence đã công bố một bài viết kỹ thuật chi tiết kèm theo một mã khai thác (exploit) hoạt động, cho thấy độ tin cậy trên 99% trên các hệ thống nhàn rỗi.
Nguồn gốc lỗ hổng
Lỗi bắt nguồn từ hàm nft_map_catchall_activate() trong phân hệ nftables, một khung lọc gói tin được xây dựng trên Netfilter hooks của Linux. Cụ thể, một kiểm tra điều kiện đảo ngược đơn lẻ (toán tử ! đặt sai vị trí) khiến hàm bỏ qua các phần tử catchall không hoạt động trong quá trình hủy giao dịch (abort), thay vì kích hoạt lại chúng.
Khi một bản đồ verdict dựa trên pipapo chứa một phần tử catchall tham chiếu đến một chuỗi (chain) bị xóa, và một giao dịch tiếp theo trong cùng một batch bị lỗi, kích hoạt quá trình hủy, phần tử catchall vẫn duy trì ở trạng thái không hoạt động một cách không chính xác. Điều này dẫn đến việc bộ đếm tham chiếu của chuỗi được tham chiếu luôn ở mức 0, mặc dù vẫn còn một tham chiếu hợp lệ đến chuỗi đó.
Kẻ tấn công sau đó có thể xóa chuỗi trong khi một con trỏ treo (dangling pointer) vẫn tồn tại trong một quy tắc chuỗi cơ sở, dẫn đến tình trạng use-after-free. Chi tiết về khai thác có thể tham khảo tại cybersecuritynews.com.
Kỹ thuật khai thác và ảnh hưởng hệ thống
Mã khai thác (exploit) liên kết bốn batch giao dịch để thao túng cơ chế con trỏ thế hệ của nftables.
Leo thang đặc quyền và kiểm soát luồng thực thi
Sau đó, mã khai thác thực hiện vượt qua KASLR bằng cách thu hồi lại vùng nhớ kmalloc-cg-32 đã được giải phóng bằng một cấu trúc seq_operations (được điền thông qua việc mở /proc/self/stat). Thông tin này cho phép rò rỉ các con trỏ hàm nhân thông qua yêu cầu NFT_MSG_GETRULE.
Địa chỉ heap sau đó được rò rỉ bằng cách thu hồi các đối tượng kmalloc-cg-192 đã được giải phóng bằng các cấu trúc nft_rule được chế tạo, các con trỏ danh sách liên kết của chúng được trích xuất theo cùng một cách.
Việc chiếm quyền điều khiển luồng thực thi (control flow hijacking) đạt được bằng cách ghi đè lên con trỏ blob_gen_0 của chuỗi đã xóa bằng một cấu trúc nft_expr_ops giả, trỏ đến một gadget ROP (push rbx; pop rsp). Chuỗi ROP cuối cùng gọi hàm commit_creds(&init_cred) để giành quyền root, sau đó thoát khỏi cô lập không gian tên (namespace isolation) thông qua switch_task_namespaces(), hoàn thành việc vượt qua container và không gian tên.
Biện pháp giảm thiểu và vượt qua hạn chế
Trên Ubuntu 24.04, các hạn chế tạo không gian tên người dùng không được giám sát được thực thi thông qua AppArmor có thể bị vượt qua bằng lệnh aa-exec -p trinity -- unshare -Urmin /bin/sh trước khi khai thác.
Mã khai thác đạt độ ổn định trên 99% trên các hệ thống nhàn rỗi và khoảng 80% dưới áp lực heap cao (thông qua benchmark Apache sử dụng Phoronix Test Suite), cho thấy độ tin cậy cao trong các điều kiện thực tế, theo Oliver Sieber.
Các lỗ hổng liên quan
Đáng chú ý, cùng một câu lệnh break đã tạo ra lỗ hổng này cũng sinh ra một lỗi liên quan được theo dõi là CVE-2026-23278, được vá riêng biệt thông qua một commit nhân thứ hai.
Khuyến nghị bảo mật và cập nhật bản vá
Quản trị viên hệ thống cần ngay lập tức áp dụng bản vá bảo mật từ nhân Linux (commit f41c5d1) hoặc cập nhật lên phiên bản nhân đã được vá do bản phân phối của họ cung cấp. Việc áp dụng cập nhật bản vá là cực kỳ quan trọng để bảo vệ hệ thống.
Trên các hệ thống Ubuntu, việc hạn chế tạo không gian tên người dùng không được giám sát thông qua thiết lập kernel.unprivileged_userns_clone=0 cung cấp một biện pháp giảm thiểu cục bộ khi chính sách cho phép. Đây là một bước quan trọng trong việc đảm bảo an toàn thông tin.
Theo dõi các bản tin tin tức bảo mật mới nhất và phân tích lỗ hổng là cần thiết để ứng phó kịp thời với các mối đe dọa tiềm ẩn.
