Lỗ hổng Linux Kernel chỉ do một ký tự cho phép chiếm quyền Root cục bộ, mã khai thác đã được công khai

Các nhà nghiên cứu bảo mật đã công bố mã khai thác (exploit) chi tiết cho lỗ hổng use-after-free trong Linux kernel, cho phép người dùng cục bộ không có đặc quyền leo thang lên root và thoát khỏi container. Lỗ hổng CVE-2026-23111 nằm trong mã lọc gói tin nf_tables và đã được vá upstream vào tháng 2 năm 2026.
Linux Kernel Security

Các nhà nghiên cứu bảo mật đã công bố mã khai thác (exploit) chi tiết và hoạt động cho lỗ hổng use-after-free trong Linux kernel, cho phép người dùng cục bộ không có đặc quyền leo thang lên root và thoát khỏi container.

Lỗ hổng CVE-2026-23111 nằm trong mã lọc gói tin nf_tables của kernel và đã được vá upstream vào ngày 5 tháng 2 năm 2026. Exodus Intelligence đã phát hành bản phân tích kỹ thuật đầy đủ vào ngày 8 tháng 6, và đây thậm chí không phải là bản exploit công khai đầu tiên: FuzzingLabs đã công bố một bản tái hiện độc lập vào tháng 4.

Lỗi này bắt nguồn từ một ký tự thừa duy nhất, một bước kiểm tra bị đảo ngược trong nf_tables, và bản vá upstream đã loại bỏ nó chỉ trong một dòng code. Ubuntu xếp hạng lỗ hổng này ở mức CVSS 7.8 (cao). Nếu gói kernel của bản phân phối bạn đang dùng chưa bao gồm bản vá, hãy cập nhật và khởi động lại máy.

Cấu hình bị ảnh hưởng và cơ chế tấn công

Cấu hình có thể tiếp cận lỗ hổng này rất phổ biến: nf_tables kết hợp với unprivileged user namespaces, một tính năng của Linux cho phép một tài khoản thông thường hoạt động như root bên trong một sandbox riêng biệt và truy cập vào mã nguồn kernel mà bình thường họ không thể chạm tới.

Cả hai tính năng này đều được bật mặc định trên hầu hết các máy tính để bàn và nhiều bản dựng máy chủ. Bản thân lỗ hổng này không có phương thức tấn công từ xa (remote vector). Đây là một lỗi mà kẻ tấn công sẽ sử dụng sau khi đã có được chỗ đứng trong hệ thống, biến một shell đặc quyền thấp, một container bị xâm nhập hoặc một tài khoản dịch vụ thành quyền root trên máy chủ vật lý.

Nhà nghiên cứu Oliver Sieber của Exodus, người đã phát hiện ra lỗi vào đầu năm 2025, đã kết hợp nó thành một cuộc tấn công chiếm quyền root cục bộ hoàn chỉnh. Bản exploit kích hoạt lỗi use-after-free, vượt qua các cơ chế bảo vệ bộ nhớ tích hợp của kernel, sau đó giành quyền kiểm soát thực thi để cấp quyền root cho chính nó và thoát khỏi namespace của container.

Ông đã trình diễn thành công trên Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS và Ubuntu 24.04 LTS.

FuzzingLabs đã tái hiện lỗi trên RHEL 10 trước thềm Pwn2Own Berlin 2026, xây dựng bản exploit root của riêng họ theo một con đường khác. Lịch trình diễn ra rất khẩn trương: bản vá được tung ra ngày 5 tháng 2, FuzzingLabs công bố vào ngày 16 tháng 4, và bài viết chi tiết của Exodus xuất hiện vào ngày 8 tháng 6.

Bối cảnh các lỗ hổng LPE trên Linux

Kỹ thuật này hiện đã được ghi nhận trên khắp các hệ điều hành Debian, Ubuntu và Red Hat. Vì lỗi nằm trong nhánh chính (mainline), bất kỳ bản phân phối nào sử dụng kernel bị lỗi với cả hai tính năng trên được bật đều có nguy cơ bị tấn công, trừ khi các biện pháp thắt chặt bảo mật hoặc hạn chế namespace của bản phân phối đó chặn đứng đường đi của kẻ tấn công.

CVE-2026-23111 xuất hiện giữa một loạt các vụ tiết lộ về lỗi chiếm quyền root cục bộ (local-root) trên Linux. Những tuần gần đây đã chứng kiến sự xuất hiện của Copy Fail, chuỗi tấn công Dirty Frag, biến thể Fragnesia của nó, DirtyDecrypt, và một lỗi ptrace 9 năm tuổi cho phép đọc file /etc/shadow và thực thi lệnh dưới quyền root.

Chúng khác nhau về chi tiết kỹ thuật, nhưng có chung một đặc điểm khiến các chuyên gia phòng thủ lo ngại: một chỗ đứng không có đặc quyền liên tục được chuyển đổi thành quyền root trên các hệ thống cài đặt thông thường.

Khuyến nghị cập nhật và phòng ngừa

Hãy cập nhật kernel và khởi động lại. Lỗi này chỉ có tác dụng cục bộ và yêu cầu unprivileged user namespaces, vì vậy hãy tập trung trước tiên vào các hệ thống cho phép người dùng hoặc khối lượng công việc (workloads) không tin cậy tạo ra chúng.

Ubuntu đã có bản vá cho các phiên bản 22.04, 24.04 và 25.10; Debian đã sửa lỗi trên Bookworm và Trixie, cùng với bản backport 6.1 cho Bullseye LTS. Red Hat, SUSE và Amazon Linux cũng đang theo dõi lỗ hổng này; hãy kiểm tra thông báo bảo mật của bản phân phối bạn đang dùng để tìm gói kernel tương ứng, vì phiên bản sửa lỗi chính xác sẽ khác nhau. Bản vá upstream thực tế chỉ là một dòng mã.

Trong một đánh giá gần đây về sự gia tăng của các lỗ hổng LPE, Synacktiv cho rằng tốc độ này có liên quan đến nghiên cứu được hỗ trợ bởi AI và kỹ thuật so sánh bản vá (patch-diffing), giúp tung ra các bản exploit hoạt động được trước khi bản vá kịp lan rộng. Họ cũng lập luận rằng việc thắt chặt bảo mật thông thường vẫn giúp các chuyên gia phòng thủ có thêm thời gian.

Hầu hết các lỗi này dựa trên các tính năng kernel tùy chọn hoặc các thiết lập mặc định lỏng lẻo, vì vậy việc cắt đứt những gì người dùng không có đặc quyền có thể tiếp cận (trong trường hợp này là user namespaces) sẽ ngăn chặn được exploit cho đến khi bản vá được cài đặt.

Hiện tại chưa có báo cáo công khai về việc khai thác lỗ hổng này trong thực tế và chưa có nhóm tấn công nào được xác định có liên quan. Bản vá đã có từ tháng 2 và mã khai thác đã được công khai từ tháng 4.