Lỗ hổng kernel Linux mới "Fragnesia" cho phép leo quyền root nguy hiểm

Các nhà phân phối Linux vừa đưa ra cảnh báo khẩn cấp về một lỗ hổng bảo mật mới trong hạt nhân (kernel) hệ điều hành, cho phép kẻ tấn công cục bộ leo thang đặc quyền lên mức cao nhất là root.

Lỗi này được đặt tên là Fragnesia và được mã số theo dõi là CVE-2026-46300. Vấn đề nằm trong hệ thống con XFRM ESP-in-TCP, cho phép một kẻ tấn công không có đặc quyền có thể ghi đè các tệp hệ thống nhạy cảm để chiếm đoạt quyền quản trị.

Lỗ hổng bảo mật Linux

Đại đa số các bản phân phối Linux đều chịu ảnh hưởng bởi lỗ hổng này và hiện đã bắt đầu phát hành các bản vá sửa lỗi. Mặc dù mã khai thác khái niệm (PoC) đã công khai, nhưng cho đến nay vẫn chưa có bằng chứng nào cho thấy Fragnesia đã bị khai thác trong các cuộc tấn công thực tế (in-the-wild).

Cơ chế hoạt động của Fragnesia

Nhóm tình báo đe dọa của Microsoft đã phân tích chi tiết về lỗi này. Họ nhận định rằng Fragnesia hoạt động tương tự như các lỗ hổngDirty Frag và Copy Fail từng được tiết lộ trước đó.

"Tương tự như Dirty Frag, Fragnesia khai thác một lỗ hổng trong hệ thống con XFRM ESP-in-TCP để đạt được một nguyên thủy ghi bộ nhớ trong hạt nhân," — đại diện Microsoft cho biết.

Nguyên primitive này sau đó được sử dụng để làm hỏng bộ nhớ đệm trang (page cache memory) của tệp nhị phân /usr/bin/su. Kết quả là kẻ tấn công có thể khởi chạy một dòng lệnh (shell) với quyền root.

Đáng lo ngại hơn, Microsoft lưu ý rằng phương thức khai thác này không bị giới hạn ở tệp /usr/bin/su. Nó có thể sửa đổi bất kỳ tệp nào mà người dùng có quyền đọc, bao gồm cả các tệp quan trọng như /etc/passwd.

Bảo mật hệ thống

Khuyến nghị và so sánh với các lỗ hổng khác

Fragnesia được xếp vào cùng lớp lỗ hổng nguy hiểm với Dirty Frag và Copy Fail. Trong đó, Copy Fail đã xác nhận bị khai thác thực tế, và Microsoft cũng từng ghi nhận hoạt động giới hạn có thể liên quan đến việc khai thác Dirty Frag ngay sau khi lỗi này được công bố.

Microsoft hiện đang kêu gọi các tổ chức và quản trị viên hệ thống hãy áp dụng các bản vá cập nhật có sẵn càng sớm càng tốt để ngăn chặn rủi ro tiềm ẩn từ lỗ hổng này.

Đối với người dùng và doanh nghiệp tại Việt Nam sử dụng các máy chủ hoặc workstation chạy Linux, việc kiểm tra và cập nhật kernel lên phiên bản mới nhất do nhà cung cấp bản phân phối phát hành là bước cần thiết ngay lập tức để đảm bảo an toàn cho hệ thống.