Lỗ hổng Copy Fail mới trên Linux cho phép tin tặc chiếm quyền root

Với mã định danh CVE-2026-31431, lỗ hổng này được phát hiện bởi Công ty An ninh mạng Theori, sử dụng nền tảng kiểm thử xâm nhập AI Xint Code sau khi quét hệ thống mã hóa/sybsystem của Linux trong khoảng một giờ.

Theori đã báo cáo phát hiện này cho nhóm bảo mật kernel Linux vào ngày 23/3 và các bản vá lỗi được công bố ngay sau đó trong vòng một tuần. Chi tiết kỹ thuật và bằng chứng về cách khai thác lỗ hổng này được công khai vào ngày 29/4.

Nguyên nhân dẫn đến lỗ hổng

Trong một bài viết chi tiết, các nhà nghiên cứu cho biết lỗ hổng Copy Fail là một lỗi logic trong mẫu mã hóa xác thực của kernel Linux, cho phép người dùng đã được xác thực có thể thực hiện một thao tác ghi 4 byte vào bộ nhớ cache trang của bất kỳ tệp nào có thể đọc được trên hệ thống.

Bằng cách kết hợp socket interface “AF_ALG”, cho phép truy cập vào các chức năng mã hóa của kernel Linux từ user space, cũng như lệnh gọi hệ thống splice(), người dùng không có đặc quyền có thể thực hiện thao tác ghi có kiểm soát 4 byte vào bộ nhớ cache trang của một tệp, thay vì bộ đệm thông thường.

Nếu 4 byte đó tác động đến một tệp nhị phân setuid-root, chúng có thể thay đổi hành vi của tệp đó khi được thực thi, giúp kẻ tấn công có được quyền root.

Lỗi này thực tế đã xuất hiện vào năm 2017, khi nhóm phát triển kernel Linux thêm một tối ưu hóa “in-place” vào đường dẫn mã hóa, nghĩa là nó bắt đầu sử dụng lại cùng một bộ đệm thay vì giữ cho đầu vào và đầu ra hoàn toàn tách biệt.

Tác động và các biện pháp khắc phục

Theo các nhà nghiên cứu, mã bằng chứng khái niệm (PoC) của Theori là một công cụ khai thác có kích thước 732 byte, hoạt động hiệu quả và cho phép truy cập quyền root vào mọi bản phân phối Linux chính dễ bị tổn thương.

Các nhà nghiên cứu đã chứng minh và xác nhận lỗ hổng Copy Fail tồn tại trên Ubuntu 24.04, Amazon Linux 2023, RHEL 10.1 và SUSE 16:
​

Cách lấy quyền truy cập root trên bốn bản phân phối Linux

Lỗ hổng Copy Fail được mô tả là có nhiều điểm tương đồng nhưng linh hoạt hơn so với lỗ hổng Dirty Pipe và các lỗ hổng leo thang đặc quyền cục bộ thông thường. “Copy Fail có tính di động cao hơn. Một script duy nhất, dùng được cho mọi bản phân phối, không cần chỉnh sửa offset. Trong khi Dirty Pipe yêu cầu kernel ≥ 5.8 với các bản vá cụ thể, thì Copy Fail bao phủ toàn bộ bản phân phối giai đoạn 2017 - 2026”, Theori cho biết.

Các nhà nghiên cứu thông tin thêm, các bản phân phối Linux chính đã và đang triển khai bản vá lỗi thông qua các bản cập nhật kernel hệ điều hành. Tuy nhiên, theo chuyên gia phân tích lỗ hổng bảo mật của Tharros, Will Dormann, lưu ý rằng hiện chưa có bản cập nhật chính thức nào cho CVE-2026-31431.

“Fedora 42 và các phiên bản mới hơn đã có bản cập nhật, nhưng không có thông báo chính thức hoặc xác nhận nào về CVE-2026-31431”, Dormann chia sẻ.

Để khắc phục tạm thời vấn đề đối với những người chưa nhận được bản cập nhật, các nhà nghiên cứu khuyến nghị vô hiệu hóa interface mã hóa dễ bị tổn thương, điều này sẽ chặn việc tạo socket AF_ALG, hoặc vô hiệu hóa mô-đun algif_aead.
​Hồng Đạt