"Dirty Frag" (CVE-2026-43284): Lỗ hổng leo thang đặc quyền nghiêm trọng thứ hai trên Linux chỉ trong tám ngày

Chỉ tám ngày sau sự cố "Copy Fail" làm chấn động cộng đồng máy chủ Linux, một lỗ hổng bảo mật nghiêm trọng khác đã xuất hiện — và lỗ hổng này cũng cấp quyền truy cập root cho bất kỳ ai có thể chạy mã trên máy chủ của bạn.

Lỗ hổng này được đặt tên là "Dirty Frag". Nó được công khai vào ngày 7 tháng 5 năm 2026. Một đoạn mã khai thác (exploit) hoạt động đã tồn tại. Và nếu máy chủ của bạn chưa được vá lỗi và khởi động lại kể từ ngày 8 tháng 5, nó đang ở trong tình trạng dễ bị tấn công ngay lúc này.

Dirty Frag là gì?

Dirty Frag là tên không chính thức cho một chuỗi khai thác kết hợp hai lỗ hổng của nhân Linux: CVE-2026-43284 và CVE-2026-43500. Lỗ hổng đầu tiên đã được vá; lỗ hổng thứ hai vẫn đang được các nhà phân phối triển khai vá lỗi vào thời điểm bài viết này.

Nguyên nhân gốc rễ của CVE-2026-43284 nằm ở cách nhân Linux xử lý bộ nhớ gói tin mạng trong đường dẫn IPsec/ESP. Khi MSG_SPLICE_PAGES gắn các trang từ một đường ống (pipe) trực tiếp vào bộ đệm mạng (skb), các đường dẫn datagram IPv4/IPv6 đã không đánh dấu các trang đó là được chia sẻ.

Điều này khiến một gói tin ESP-in-UDP được tạo từ các trang pipe chia sẻ trông giống như một bộ đệm riêng tư thông thường đối với nhân — do đó quá trình giải mã ESP sẽ diễn ra tại chỗ (in-place) trực tiếp trên bộ nhớ mà skb không sở hữu. Một kẻ tấn công biết cách thao túng hành vi này có thể thực hiện ghi có kiểm soát vào bộ nhớ đệm trang (page cache) của nhân và cuối cùng là leo thang lên quyền root.

Nói một cách đơn giản: nhân đã tin tưởng vào bộ nhớ mà nó không nên tin tưởng, và kẻ tấn công có thể sử dụng sự tin tưởng sai lầm đó để chiếm control toàn bộ máy tính.

Độ tin cậy cao hơn DirtyPipe

Khác với lỗ hổng DirtyPipe trước đây, vốn dựa vào một điều kiện tranh chấp (race condition) hẹp trong việc xử lý cờ bộ đệm pipe, Dirty Frag là một lỗi logic xác định (deterministic logic flaw). Nghiên cứu viên Hyunwoo Kim báo cáo tỷ lệ thành công rất cao và rủi ro gây panic cho nhân rất tối thiểu, không có khoảng thời gian nào để bỏ lỡ. Điều này khiến nó trở nên cực kỳ đáng tin cậy so với các phương thức khai thác thông thường.

Copy Fail (CVE-2026-31431), được công bố vào ngày 29 tháng 4, đã khai thác một lỗi logic trong hệ thống mật mã của nhân Linux — cụ thể là một lỗi trong mẫu authencesn AEAD cho phép ghi có kiểm soát 4 byte vào bộ nhớ đệm trang của nhân. Một đoạn script Python chỉ 732 byte là đủ để có được root trên mọi bản phân phối Linux chính được xây dựng kể từ năm 2017.

Dirty Frag tuân theo cùng một mô hình cơ bản — một nguyên mẫu ghi page cache biến thành leo thang root — nhưng thông qua một đường dẫn mã hoàn toàn khác. Cả hai lỗ hổng đều biến các tối ưu hóa xử lý tại chỗ (in-place) tồn tại lâu dài thành các nguyên mẫu root xác định: Copy Fail thông qua mật mã không gian người dùng (userspace crypto), Dirty Frag thông qua việc nhận IPsec.

Sự kết nối này không phải là ngẫu nhiên. Nghiên cứu viên Hyunwoo Kim đã xây dựng dựa trên lớp lỗi (bug class) mà Copy Fail giới thiệu. Một số người trong cộng đồng bảo mật đã bắt đầu gọi CVE-2026-43284 là "Copy Fail 2.0". Những gì được trình bày như một lỗi nhân hiếm gặp mười ngày trước đây đang trở thành một lớp tấn công có thể lặp lại.

Tác động và các hệ thống bị ảnh hưởng

Một yếu tố thú vị của Dirty Frag là việc xích chuỗi hai lỗ hổng phụ (CVE-2026-43284 và CVE-2026-43500) sẽ lấp đầy các điểm mù của nhau. Không một lỗi nào đơn lẻ cung cấp một nguyên mẫu đủ đáng tin cậy để leo thang root hoàn toàn. Tuy nhiên, khi kết hợp lại, chuỗi khai thác đạt được quyền root ngay lập tức trên hầu hết các bản phân phối.

Mọi máy chủ chạy nhân Linux chính thống được xây dựng từ khoảng năm 2017 trở đi đều bị ảnh hưởng. Mọi bản phát hành AlmaLinux được hỗ trợ đều bị ảnh hưởng. CVE-2026-43284 ảnh hưởng đến AlmaLinux 8, 9 và 10 thông qua các mô-đun esp4/esp6, là một phần của gói nhân tiêu chuẩn trên mọi bản phát hành.

Danh sách đầy đủ các bản phân phối bị ảnh hưởng bao gồm Red Hat Enterprise Linux, AlmaLinux, Debian, Ubuntu, Fedora, Arch Linux, CentOS, CloudLinux và Amazon Linux.

Đối với môi trường lưu trữ web cụ thể, vector đe dọa giống hệt với Copy Fail: kẻ tấn công không cần xâm nhập từ xa. Mối nguy nằm ở chỗ一旦 kẻ tấn công xâm nhập được — thông qua một plugin WordPress bị lỗi, một web shell, thông tin đăng nhập SSH yếu, hoặc một container bị xâm phạm — Dirty Frag cho phép chúng leo thang lên root ngay lập tức và sau đó tắt các công cụ bảo mật, đọc thông tin đăng nhập, can thiệp vào nhật ký hệ thống, di chuyển ngang (lateral movement) hoặc tồn tại trên máy chủ.

Trên các máy chủ lưu trữ dùng chung (shared hosting), một tài khoản bị xâm phạm có thể dẫn đến việc xâm phạm toàn bộ máy chủ.

Giải pháp khắc phục và giảm thiểu

Các nhân đã được vá hiện có sẵn trong các kho lưu trữ sản xuất kể từ ngày 8 tháng 5 năm 2026. Đây là giải pháp khắc phục thực sự duy nhất.

Đối với AlmaLinux, CloudLinux, Rocky Linux, CentOS Stream, RHEL:

• Cập nhật kernel: sudo dnf update kernel
• Khởi động lại máy chủ: sudo reboot

Đối với CloudLinux với KernelCare (không cần khởi động lại):

• Sử dụng lệnh cập nhật KernelCare.

Sau khi khởi động lại, hãy xác nhận rằng bạn đang chạy nhân đã được vá: uname -r

So sánh đầu ra với phiên bản đã vá trong thông báo bảo mật của bản phân phối của bạn trước khi coi máy chủ được bảo vệ.

Nếu không thể khởi động lại ngay lập tức, bạn có thể chặn các mô-đun dễ bị tấn tải không cho nạp. Bản viết kỹ thuật về Dirty Frag cung cấp một phương pháp giảm thiểu loại bỏ các mô-đun chứa các lỗ hổng và xóa bộ nhớ đệm trang:

Tạo tệp /etc/modprobe.d/dirtyfrag.conf với nội dung:

install esp4 /bin/true
install esp6 /bin/true

Sau đó chạy: sync; echo 3 > /proc/sys/vm/drop_caches

Quan trọng trước khi áp dụng: hãy xác minh rằng máy chủ của bạn không sử dụng đường hầm VPN IPsec, mạng được mã hóa site-to-site hoặc các chính sách mạng Kubernetes phụ thuộc vào esp4 hoặc esp6. Vô hiệu hóa các mô-đun này trên máy chủ có IPsec hoạt động sẽ làm hỏng các kết nối đó. Nếu nghi ngờ, hãy áp dụng bản cập nhật nhân thay thế.

Sau khi nhân đã được vá và máy chủ được khởi động lại, hãy hoàn tác phương pháp giảm thiểu bằng cách xóa tệp /etc/modprobe.d/dirtyfrag.conf.

Nếu bạn chưa giải quyết được Copy Fail (CVE-2026-31431), hãy coi cả hai lỗ hổng là một nỗ lực khắc phục kết hợp, xét đến sự tương đồng của chúng và các bước giảm thiểu trùng lặp. Một bản cập nhật và khởi động lại nhân duy nhất sẽ bao phủ cả hai. Kiểm tra xem nhân đang chạy của bạn đã được vá cho cả CVE-2026-31431 và CVE-2026-43284 trước khi coi máy chủ sạch sẽ.

Kết luận

Hai lỗ hổng leo thang đặc quyền nhân Linux phổ biến trong tám ngày không phải là điều bình thường. Dirty Frag là cái thứ hai trong giai đoạn này, ngay sau Copy Fail. Với một khái niệm bằng chứng (proof-of-concept) công khai được phát hành trước các bản vá và việc khai thác được giảm xuống chỉ còn một vài syscall tiêu chuẩn, những người phòng thủ nên giả định rằng bất kỳ chỗ đứng nào (foothold) cục bộ trên máy chủ chưa được vá đều có thể trở thành root trong vài giây.

Việc công bố Dirty Frag cũng diễn ra tồi tệ: một bên thứ ba không liên quan đã làm lộ chi tiết khai thác trước khi các nhà phân phối hoàn tất đóng gói các bản vá, buộc phải công bố công khai sớm trong khi CVE-2026-43500 vẫn chưa được vá. Đây là cùng một mô hình đã khiến Copy Fail trở nên nguy hiểm như vậy trong những giờ đầu tiên.

Bài học thực tế là khoảng thời gian giữa việc một lỗ hổng được biết đến bởi những kẻ tấn công và việc bị khai thác trong tự nhiên hiện nay được tính bằng giờ, không phải bằng ngày. Các bản cập nhật nhân phải được xử lý với mức độ khẩn cấp tương tự như các bản vá bảo mật ứng dụng — áp dụng ngay khi chúng có sẵn, không phải đợi đến cửa sổ bảo trì tiếp theo.

Đối với bất kỳ máy chủ nào chạy khối lượng công việc lưu trữ web: vá ngay hôm nay, khởi động lại, xác minh. Sau đó thiết lập cảnh báo để lần tới việc này xảy ra, bạn sẽ biết trong vòng một giờ.