Một lỗ hổng CVE mới được công bố trên Linux kernel, kết hợp giữa lỗi phân vùng bộ đệm trang Copy-on-Write (COW) và thành phần act_pedit trong phân hệ net/sched, cho phép kẻ tấn công cục bộ không có đặc quyền leo thang đặc quyền lên quyền root hoàn toàn trên nhiều bản phân phối Linux chính.
Chi tiết Lỗ hổng Kernel Linux
Mã khai thác, được đặt tên là packet_edit_meme, đã được xác minh vào tháng 6 năm 2026 trên các kernel doanh nghiệp và người dùng đang được duy trì tích cực. Lỗ hổng này được đánh giá có mức độ nghiêm trọng cao và cần được vá lỗi khẩn cấp.
Nguyên nhân Gốc rễ
Nguyên nhân cốt lõi là lỗi phân vùng bộ đệm trang COW một phần (partial-COW page-cache corruption bug) được giới thiệu trong commit kernel 899ee91156e5. Lỗi này hiện diện trên các phiên bản kernel Linux từ v5.18 đến v7.1-rc6 và đã được vá trong v7.1-rc7. Điểm yếu nằm trong phân hệ net/sched act_pedit, một thành phần chỉnh sửa gói tin của framework điều khiển lưu lượng (traffic control – tc) trên Linux.
Kỹ thuật Khai thác
Chuỗi tấn công hoạt động bằng cách tạo một tiến trình con trong không gian người dùng (user namespace child process) với các quyền CAP_NET_ADMIN. Quyền này có thể đạt được bởi người dùng không có đặc quyền trên các hệ thống mà user namespace không có đặc quyền được bật mặc định. Mã khai thác sau đó tận dụng lỗ hổng phân vùng COW để ghi đè lên điểm vào ELF trong bộ đệm trang của tệp nhị phân setuid-root /bin/su. Kẻ tấn công có thể chèn shellcode để thực thi setgid(0) + setuid(0) + execve("/bin/sh"), từ đó cung cấp một root shell cho kẻ tấn công.
Ảnh hưởng Hệ thống
Đây là lỗ hổng leo thang đặc quyền thứ tư được công bố gần đây trên các hệ thống Linux. Các kiểm tra xác minh đã xác nhận sự thành công của việc khai thác trên nhiều bản phân phối được triển khai rộng rãi.
Các Bản phân phối Bị Ảnh hưởng
RHEL và Debian ngay lập tức bị ảnh hưởng mà không cần cấu hình bổ sung, vì cả hai đều mặc định mở user namespace không có đặc quyền. Đáng chú ý, RHEL thiếu các module cls_basic và em_meta, nhưng mã khai thác tự động chuyển sang matchall để cung cấp cùng một cơ chế phân vùng lỗi.
Ubuntu thực thi hai sysctl để hạn chế việc tạo user namespace không có đặc quyền. Để vượt qua cơ chế bảo vệ này, mã khai thác sử dụng tùy chọn --ubuntu, tái thực thi chính nó thông qua aa-exec bằng cách sử dụng các hồ sơ linh hoạt như trinity, chrome, hoặc flatpak. Các hồ sơ này chứa một quy tắc userns, cho phép bỏ qua cổng AppArmor.
Kỹ thuật bỏ qua này hoạt động trên Ubuntu 24.04.4 (unconfined=0) nhưng đã được khắc phục trên Ubuntu 26.04 (unconfined=1), nơi hạn chế được thắt chặt để ngăn chặn hoàn toàn đường dẫn tái thực thi này.
Khuyến nghị Bảo mật
Red Hat đã công bố một bản tin bảo mật chính thức tại RHSB-2026-008. Quản trị viên được khuyến cáo mạnh mẽ áp dụng các bản vá kernel ngay lập tức. Đồng thời, cần hạn chế việc tạo user namespace không có đặc quyền thông qua sysctl nếu khả thi về mặt vận hành, và giám sát các sự kiện aa-exec bất thường hoặc các sự kiện tạo namespace.
Các tổ chức đang chạy kernel trong khoảng phiên bản từ v5.18 đến v7.1-rc6 nên coi đây là một bản vá có mức độ ưu tiên cực kỳ cao. Đây là một ví dụ điển hình về tin tức bảo mật quan trọng mà các chuyên gia an ninh mạng cần theo dõi sát sao.
Nâng cấp khả năng phòng thủ chủ động của bạn trước các cuộc tấn công mạng. Tiếp cận 5 chiến thuật săn lùng mối đe dọa đã được chứng minh mà bạn có thể triển khai trong SOC của mình.
IOC (Indicators of Compromise)
Hiện tại, không có thông tin cụ thể về IOC như tên mã độc, tên APT hay các địa chỉ IP/domain độc hại được cung cấp trong nội dung gốc liên quan đến cuộc tấn công này. Tuy nhiên, việc theo dõi các sự kiện tạo user namespace bất thường và các lệnh aa-exec đáng ngờ là rất quan trọng để phát hiện sớm các hoạt động xâm nhập.
