Lỗi Logic "Copy Fail" trong Nhân Linux Cho phép Kẻ Tấn công Lấy Quyền Root

Công ty an ninh mạng Theori vừa phát hiện một lỗi logic nghiêm trọng trong nhân Linux (Linux Kernel), cho phép những kẻ tấn công không có đặc quyền có thể ghi mã vào bộ nhớ của các tệp tin khác và obtain quyền truy cập root shell.

Lỗi hổng này, được theo dõi dưới mã định danh CVE-2026-31431 (điểm CVSS 7.8) và đặt tên là "Copy Fail", được tin là ảnh hưởng đến tất cả các bản phân phối Linux kể từ năm 2017.

Linux Kernel

Chi tiết kỹ thuật

Lỗi bảo mật này tác động đến mẫu mã hóa authencesn (Authenticated Encryption with Associated Data - AEAD) của nhân Linux, vốn được IPsec sử dụng để hỗ trợ Extended Sequence Number (ESN).

Theo Theori, vấn đề gốc rễ nằm ở chỗ Linux đặt các trang bộ nhớ đệm (page cache pages) vào một scatterlist có thể ghi. Mẫu authencesn sử dụng scatterlist đích của người gọi làm không gian tạm (scratch space). Một tối ưu hóa được thực hiện vào năm 2017 đã vô tình đưa các trang bộ nhớ đệm vào scatterlist có thể ghi này.

Security Illustration

Khi thực hiện việc sắp xếp lại byte trong không gian tạm, authencesn thực hiện một cuộc gọi ghi 4 byte mã vượt quá thẻ AEAD, vào bản sao được lưu trong bộ nhớ đệm của một tệp tin khác.

Cơ chế khai thác và rủi ro

Theori giải thích rằng "Copy Fail" cho phép một kẻ tấn công có đặc quyền thực thi mã cục bộ (local code execution) có thể sửa đổi bản sao trong bộ nhớ của bất kỳ tệp nhị phân setuid-root nào mà người dùng có thể đọc được, từ đó đạt được quyền truy cập root shell.

Đáng lo ngại là việc khai thác thành công lỗ hổng này có thể thực hiện chỉ bằng một đoạn script Python đơn giản với kích thước 732 byte, về cơ bản là hoạt động trên bất kỳ bản phân phối Linux nào được phát hành kể từ năm 2017.

Lỗ hổng này tạo ra rủi ro đặc biệt cao đối với các môi trường Linux đa thuê bao (multi-tenant), cũng như các container dùng chung nhân (shared-kernel containers) và các CI runner thực thi mã không đáng tin cậy. Mối đe dọa chính, theo Theori, là tất cả các thay đổi đều được thực hiện trực tiếp trên bộ nhớ, trong khi tệp tin trên đĩa cứng vẫn không bị sửa đổi.

Security Logo

So sánh và Khắc phục

Theori nhận định rằng "Copy Fail" khác với Dirty Pipe (lỗi hỏng bộ nhớ đệm trang lạm dụng cờ bộ đệm ống dẫn) và Dirty Cow (lợi dụng điều kiện cuộc đua trong đường dẫn COW).

Các tổ chức được khuyên nên cập nhật các bản phân phối Linux của mình lên phiên bản đã được khắc phục càng sớm càng tốt, đặc biệt là trong các môi trường chạy các khối lượng công việc không đáng tin cậy. Các bản vá lỗi cho "Copy Fail" đã loại bỏ tối ưu hóa được giới thiệu năm 2017, hoàn nguyên về hoạt động out-of-place và loại bỏ cơ chế "liên kết các trang thẻ bộ nhớ đệm vào scatterlist đích có thể ghi".