Lỗ hổng trong Linux kernel: Hacker có thể chiếm quyền root chỉ bằng một gói tin độc hại

[Kaya]

Một lỗ hổng vừa được phát hiện trong nhân (kernel) của hệ điều hành Linux. Lỗ hổng có mã hiệu CVE-2025-38001 đã bị các nhà nghiên cứu bảo mật khai thác thành công trong vòng chưa đầy 4 giây và nhận phần thưởng kỷ lục 82.000 USD từ chương trình bug bounty kernelCTF của Google.

Lỗ hổng xuất hiện trong thành phần HFSC (Hierarchical Fair Service Curve) của Linux packet scheduler - cơ chế quản lý luồng dữ liệu mạng. Lỗi này ảnh hưởng đến nhiều bản phân phối Linux phổ biến như Debian 12, Ubuntu và cả Container-Optimized OS (COS) do Google phát triển.

Lỗ hổng là dạng Use-After-Free. Nó xảy ra khi kết hợp HFSC với NETEM (công cụ giả lập điều kiện mạng) và bật tính năng packet duplication (nhân bản gói tin). Trong tình huống này, dữ liệu mạng có thể bị xử lý sai cách, dẫn đến rủi ro thực thi mã tùy ý trong nhân hệ điều hành (kernel). Hacker có thể lợi dụng để:

• Chiếm quyền root
• Ghi đè quyền truy cập
• Kiểm soát toàn bộ hệ thống

Nhóm nghiên cứu bảo mật đã tái hiện quá trình khai thác bằng cách sử dụng tc - công cụ điều khiển lưu lượng mạng trong Linux. Họ dựng một chuỗi qdisc (queuing discipline) phức tạp, trong đó lớp gốc là TBF (Token Bucket Filter) để điều chỉnh tốc độ truyền gói tin, từ đó kiểm soát thời điểm lỗi xảy ra.

Bằng cách liên tục thực hiện nhân bản gói tin, họ khiến lỗi Use-After-Free kích hoạt, giành quyền kiểm soát con trỏ RBTree (cấu trúc dữ liệu trong kernel), từ đó ghi đè bộ nhớ nhạy cảm và leo thang đặc quyền.

Dù lỗi mang tính kỹ thuật cao, nhưng hậu quả lại rất thực tế:

• Máy chủ Linux có thể bị chiếm quyền chỉ với một gói tin độc hại
• Hacker có thể đánh cắp dữ liệu, cài mã độc hoặc di chuyển trong mạng nội bộ
• Các hệ thống cloud-native, container cũng là mục tiêu tiềm năng

Hiện chưa ghi nhận trường hợp khai thác thực tế, nhưng mức độ rủi ro là rất nghiêm trọng nếu hệ thống chưa được vá.

Các chuyên gia khuyến cáo người dùng:

• Cập nhật kernel lên phiên bản mới nhất. Bản vá đã được phát hành tại commit: ac9fe7dd8e730a103ae4481147395cc73492d786.
• Rà soát cấu hình mạng sử dụng NETEM và HFSC nếu đang triển khai giả lập mạng hoặc QoS.
• Giám sát hệ thống kỹ hơn nếu có sử dụng container, đặc biệt trong môi trường cloud-native.
• Tham gia và theo dõi các chương trình bug bounty như kernelCTF để nắm bắt thông tin cập nhật nhanh chóng.

Trong thời đại AI và cloud phát triển mạnh mẽ, một lỗ hổng tưởng chừng "chuyên sâu" trong kernel cũng có thể là cửa ngõ để hacker kiểm soát cả hạ tầng. Cập nhật sớm và chủ động phòng ngừa là cách bảo vệ đơn giản nhưng hiệu quả nhất.

Theo WhiteHat.vn​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview