FatGid: Lỗi hổng nghiêm trọng trong kernel FreeBSD 14.x cho phép leo thang đặc quyền cục bộ

Một lỗ hổng mới được đặt tên là FatGid đã được phát hiện trong hệ điều hành FreeBSD 14.x, cho phép người dùng cục bộ không có đặc quyền nâng lên quyền root thông qua lỗi tràn bộ nhớ stack. Vấn đề nằm trong system call setcred(2) và xảy ra trước khi bất kỳ kiểm tra quyền hạn nào được thực thi, khiến việc khai thác trở nên khả thi ngay cả khi các cơ chế bảo vệ SMAP/SMEP đang bật. Hiện tại, bản vá chưa được chuyển ngược về nhánh ổn định 14.4, khiến người dùng cần phải hành động ngay lập tức.

Chi tiết kỹ thuật về nguyên nhân lỗi

Lỗi này xuất phát từ một sai sót về kích thước kiểu dữ liệu (sizeof type error) trong hàm kern_setcred_copyin_supp_groups() nằm tại file sys/kern/kern_prot.c. Cụ thể, hàm này sử dụng con trỏ kép gid_t ** cho đối số groups.

Khi thực hiện phép tính sizeof(*groups), trình biên dịch trả về kích thước của con trỏ (8 byte trên kiến trúc LP64) thay vì kích thước của gid_t (4 byte). Sai sót này dẫn đến việc cấp phát bộ nhớ không chính xác và gây ra tràn bộ nhớ stack (stack buffer overflow).

Đáng lo ngại hơn, lỗi tràn này xảy ra trước khi kernel thực hiện bất kỳ kiểm tra đặc quyền (privilege check) nào. Điều này có nghĩa là bất kỳ người dùng cục bộ nào cũng có thể kích hoạt lỗi này bằng cách gọi setcred(2) với các tham số được tính toán kỹ lưỡng.

Khả năng khai thác và leo thang đặc quyền

Các nhà nghiên cứu bảo mật đã phát triển thành công các khai thác LPE (Local Privilege Escalation) hoạt động trên kernel amd64 GENERIC, bao gồm cả các hệ thống có bật và không bật SMAP/SMEP.

• Trên hệ thống không có SMAP/SMEP: Kẻ tấn công có thể dễ dàng thực thi mã shellcode trong không gian người dùng để lấy quyền root.
• Trên hệ thống có SMAP/SMEP: Biến thể khai thác phức tạp hơn nhưng vẫn khả thi, chỉ yêu cầu module zfs.ko được tải (mặc định trên mọi cài đặt FreeBSD sử dụng ZFS). Kỹ thuật này tận dụng một "gadget" nằm trong hàm ZSTD_initCStream_advanced của module ZFS để ghi đè con trỏ thông tin xác thực (credential pointer) của luồng hiện tại.

Minh họa quá trình khai thác lỗi FatGid

Kết quả là, chỉ với một lời gọi hệ thống setcred(2) duy nhất, một shell không có đặc quyền có thể được nâng lên uid=0 (root) mà không cần rò rỉ thông tin kernel (kernel info-leak).

Tình trạng vá lỗi và Khuyến nghị

Lỗi này đã được sửa một cách "vô tình" trên nhánh chính (main branch) vào ngày 27/11/2025 thông qua commit 000d5b52c19ff3858a6f0cbb405d47713c4267a4. Tuy nhiên, bản sửa lỗi này là tác dụng phụ của việc tái cấu trúc mã nguồn và chưa được backport (chuyển ngược) sang các nhánh stable/14 hay releng/14.4.

Do đó, phiên bản FreeBSD 14.4-RELEASE hiện vẫn đang bị tổn thương. FreeBSD 15.0 cũng chứa lỗi này nhưng cấu trúc mã xung quanh khác biệt nên hiện tại chỉ gây panic (sập hệ thống) thay vì leo thang đặc quyền hoàn toàn.

Lỗi này đã được gán mã số CVE-2026-45250 và đội ngũ bảo mật FreeBSD đã đưa ra cảnh báo FreeBSD-SA-26:18.setcred.

Nếu bạn đang vận hành FreeBSD 14.4-RELEASE hoặc stable/14, bạn nên:

1. Cherry-pick commit 000d5b5 vào cây kernel cục bộ.
2. Biên dịch lại kernel.
3. Không có giải pháp giảm thiểu hiệu quả ở mức userland vì việc hạn chế setcred(2) sẽ làm hỏng API gốc của FreeBSD.

"Một single setcred(2) syscall nâng một shell không có đặc quyền lên uid=0 trên kernel có bật SMAP và SMEP. Không cần nguyên thủy rò rỉ thông tin kernel nào cả. Đây là kết quả nổi bật nhất," - tác giả nghiên cứu lưu ý.