CVE-2024-53141: Lỗ hổng Linux Kernel cho phép hacker chiếm quyền root qua Netfilter ipset

[WhiteHat Team]

Một lỗ hổng bảo mật vừa được định danh CVE-2024-53141, mới được phát hiện trong Linux Kernel ở thành phần ipset subsystem của Netfilter framework. Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã độc tùy ý với đặc quyền cao nhất (root), đe dọa trực tiếp đến hàng triệu hệ thống sử dụng Linux trên toàn cầu.

Lỗi xuất phát từ bitmap:ip implementation trong ipset - một cơ chế của Netfilter dùng để quản lý danh sách địa chỉ IP phục vụ lọc gói tin và tường lửa.

Trong quá trình xử lý các dải IP theo định dạng CIDR (Classless Inter - Domain Routing), hàm "bitmap_ip_uadt" tại file "ip_set_bitmap_ip.c" đã không kiểm tra đầy đủ tính hợp lệ của địa chỉ. Điều này khiến một số giá trị CIDR đặc biệt có thể “vượt ra ngoài biên” (out-of-bounds), ghi đè vào vùng nhớ kernel vốn không thuộc phạm vi cho phép.

Nói cách khác, kẻ tấn công có thể lợi dụng sai sót này để ghi dữ liệu vào những vùng nhớ quan trọng của hệ thống, mở đường cho việc kiểm soát kernel và chiếm quyền root.

Các nhà nghiên cứu cho biết, việc khai thác lỗ hổng này đòi hỏi kẻ tấn công có quyền truy cập cục bộ với khả năng cấu hình Netfilter (thường yêu cầu quyền CAP_NET_ADMIN).

Quy trình khai thác điển hình bao gồm:

• Tạo nhiều bitmap:ip sets để kiểm soát cách kernel cấp phát vùng nhớ.
• Gửi các dải địa chỉ IP được tính toán đặc biệt bằng CIDR, khiến kernel xử lý sai.
• Sử dụng các trường mở rộng như skbmark, skbprio, bytes, packets để điều chỉnh chính xác vị trí và dữ liệu ghi đè.

Nếu thành công, kẻ tấn công có thể sửa đổi các cấu trúc quan trọng trong kernel, ví dụ như "core_pattern" - quyết định cách hệ thống xử lý file dump khi ứng dụng gặp sự cố. Từ đây, chúng có thể cài cắm backdoor, chiếm toàn quyền điều khiển hệ thống hoặc ẩn mình khỏi cơ chế giám sát bảo mật.

Lỗ hổng này ảnh hưởng đến mọi hệ thống Linux Kernel có sử dụng Netfilter ipset, tức là hầu hết các máy chủ, thiết bị mạng, hạ tầng dịch vụ trực tuyến hiện nay.

• Đối tượng chịu rủi ro trực tiếp: quản trị viên hệ thống, máy chủ web, hạ tầng đám mây, hệ thống tường lửa Linux.
• Mức độ nghiêm trọng: cao, vì khai thác thành công sẽ dẫn đến leo thang đặc quyền lên root, tức toàn bộ hệ thống coi như bị kiểm soát.
• Điều kiện khai thác: cần có quyền quản trị mạng (CAP_NET_ADMIN), nên nguy cơ chủ yếu đến từ tấn công nội bộ, người dùng có quyền cao hoặc kẻ đã xâm nhập từ trước.

Nguyên nhân chính là do các nhánh xử lý CIDR không có cùng mức kiểm tra biên như khi xử lý dải IP tường minh. Điều này dẫn đến tình trạng “underflow” (tràn số âm), làm kernel tính toán sai phạm vi địa chỉ và cho phép truy cập ra ngoài bitmap hợp lệ.

Các nhà phát triển Linux Kernel đã nhanh chóng tung bản vá, thay đổi cách kiểm tra điều kiện:

• Từ kiểm tra đơn lẻ if (ip_to > map->last_ip)
• Sang kiểm tra chặt chẽ hơn: if (ip < map->first_ip || ip_to > map->last_ip)

Điều này đảm bảo rằng dù địa chỉ IP được tính theo dải hay CIDR, đều phải nằm trong giới hạn cho phép.

Khuyến nghị cho tổ chức/doanh nghiệp:

• Cập nhật kernel lên phiên bản mới nhất có vá lỗi.
• Rà soát phân quyền người dùng, hạn chế cấp quyền CAP_NET_ADMIN.
• Giám sát log hệ thống để phát hiện bất thường trong hoạt động ipset.
• Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) để giảm nguy cơ bị khai thác.

Lỗ hổng CVE-2024-53141 cho thấy chỉ một sai sót nhỏ trong kiểm tra biên cũng có thể mở ra “cửa hậu” cực nguy hiểm cho hacker. Với việc Linux được sử dụng trong hàng triệu máy chủ, thiết bị và dịch vụ toàn cầu, mức độ ảnh hưởng của lỗi này là không thể xem nhẹ.

Giải pháp duy nhất lúc này là vá ngay lập tức và thắt chặt kiểm soát quyền quản trị mạng, nhằm bảo vệ hệ thống trước khi kẻ tấn công tận dụng lỗ hổng để leo thang đặc quyền.