Lỗ hổng trong Linux kernel: Hacker có thể chiếm quyền root chỉ bằng một gói tin độc hại

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
110
1.008 bài viết
Lỗ hổng trong Linux kernel: Hacker có thể chiếm quyền root chỉ bằng một gói tin độc hại
WhiteHat Team
Một lỗ hổng vừa được phát hiện trong nhân (kernel) của hệ điều hành Linux. Lỗ hổng có mã hiệu CVE-2025-38001 đã bị các nhà nghiên cứu bảo mật khai thác thành công trong vòng chưa đầy 4 giây và nhận phần thưởng kỷ lục 82.000 USD từ chương trình bug bounty kernelCTF của Google.

Weidmueller Industrial Router Vulnerabilities (69) (1).jpg

Lỗ hổng xuất hiện trong thành phần HFSC (Hierarchical Fair Service Curve) của Linux packet scheduler - cơ chế quản lý luồng dữ liệu mạng. Lỗi này ảnh hưởng đến nhiều bản phân phối Linux phổ biến như Debian 12, Ubuntu và cả Container-Optimized OS (COS) do Google phát triển.

Lỗ hổng là dạng Use-After-Free. Nó xảy ra khi kết hợp HFSC với NETEM (công cụ giả lập điều kiện mạng) và bật tính năng packet duplication (nhân bản gói tin). Trong tình huống này, dữ liệu mạng có thể bị xử lý sai cách, dẫn đến rủi ro thực thi mã tùy ý trong nhân hệ điều hành (kernel). Hacker có thể lợi dụng để:
  • Chiếm quyền root
  • Ghi đè quyền truy cập
  • Kiểm soát toàn bộ hệ thống
Nhóm nghiên cứu bảo mật đã tái hiện quá trình khai thác bằng cách sử dụng tc - công cụ điều khiển lưu lượng mạng trong Linux. Họ dựng một chuỗi qdisc (queuing discipline) phức tạp, trong đó lớp gốc là TBF (Token Bucket Filter) để điều chỉnh tốc độ truyền gói tin, từ đó kiểm soát thời điểm lỗi xảy ra.

Bằng cách liên tục thực hiện nhân bản gói tin, họ khiến lỗi Use-After-Free kích hoạt, giành quyền kiểm soát con trỏ RBTree (cấu trúc dữ liệu trong kernel), từ đó ghi đè bộ nhớ nhạy cảm và leo thang đặc quyền.

Dù lỗi mang tính kỹ thuật cao, nhưng hậu quả lại rất thực tế:
  • Máy chủ Linux có thể bị chiếm quyền chỉ với một gói tin độc hại
  • Hacker có thể đánh cắp dữ liệu, cài mã độc hoặc di chuyển trong mạng nội bộ
  • Các hệ thống cloud-native, container cũng là mục tiêu tiềm năng
Hiện chưa ghi nhận trường hợp khai thác thực tế, nhưng mức độ rủi ro là rất nghiêm trọng nếu hệ thống chưa được vá.

Các chuyên gia khuyến cáo người dùng:
  • Cập nhật kernel lên phiên bản mới nhất. Bản vá đã được phát hành tại commit: ac9fe7dd8e730a103ae4481147395cc73492d786.
  • Rà soát cấu hình mạng sử dụng NETEM và HFSC nếu đang triển khai giả lập mạng hoặc QoS.
  • Giám sát hệ thống kỹ hơn nếu có sử dụng container, đặc biệt trong môi trường cloud-native.
  • Tham gia và theo dõi các chương trình bug bounty như kernelCTF để nắm bắt thông tin cập nhật nhanh chóng.
Trong thời đại AI và cloud phát triển mạnh mẽ, một lỗ hổng tưởng chừng "chuyên sâu" trong kernel cũng có thể là cửa ngõ để hacker kiểm soát cả hạ tầng. Cập nhật sớm và chủ động phòng ngừa là cách bảo vệ đơn giản nhưng hiệu quả nhất.
Cyber Press, WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • LockBit và nghệ thuật ẩn mình: Khi mã độc cải trang thành hệ thống
  • Lỗ hổng trong SUSE Manager cho phép thực thi lệnh root mà không cần đăng nhập xác thực
  • Toàn cảnh khai thác lỗ hổng XML-RPC trên CrushFTP từ xa không cần xác thực
  • Theme Alone WordPress dính lỗ hổng, hacker có thể chiếm quyền toàn bộ website
  • Gemini CLI của Google dính lỗ hổng mở đường cho mã độc đánh cắp dữ liệu
  • Cảnh báo lỗ hổng trong Cisco ISE cho phép Hacker chiếm quyền hệ thống từ xa
    • Thẻ
    cve-2025-38001 debian google kernel
    Bên trên