-
09/04/2020
-
122
-
1.437 bài viết
PoC lỗ hổng nhân Linux bị công khai, mở đường tấn công Android
Một lỗ hổng trong nhân Linux vừa thu hút sự chú ý của giới an ninh mạng sau khi mã khai thác thử nghiệm (PoC) được công bố công khai. Lỗ hổng mang mã CVE-2025-38352 cho phép kẻ tấn công khai thác lỗi điều kiện tranh chấp trong cơ chế xử lý bộ đếm thời gian CPU, từ đó dẫn đến lỗi sử dụng vùng nhớ đã giải phóng (use-after-free) và có khả năng leo thang đặc quyền lên mức kernel. Đáng lo ngại hơn, lỗ hổng này đặc biệt ảnh hưởng tới các thiết bị Android 32-bit và hệ thống Linux nhúng.
CVE-2025-38352 là lỗ hổng gì, xuất hiện ở đâu?
CVE-2025-38352 là một lỗ hổng race condition trong nhân Linux, nằm trong hàm handle_posix_cpu_timers() - thành phần chịu trách nhiệm xử lý POSIX CPU timers, một cơ chế cho phép tiến trình thiết lập bộ đếm thời gian dựa trên lượng CPU đã sử dụng.
Cụ thể, lỗ hổng nằm ở quá trình xử lý tín hiệu timer trong các nhịp lập lịch CPU (scheduler tick). Trong một khoảng thời gian rất ngắn nhưng nguy hiểm, nhân Linux có thể vừa thu thập các timer cần kích hoạt, vừa xử lý chúng, tạo ra một cửa sổ race condition. Kẻ tấn công có thể lợi dụng thời điểm này để giải phóng bộ nhớ của timer trong khi kernel vẫn đang sử dụng nó.
Lỗi này chỉ xuất hiện trên các hệ thống không bật cấu hình CONFIG_POSIX_CPU_TIMERS_TASK_WORK, một thiết lập thường gặp trên Android 32-bit và nhiều thiết bị nhúng, khiến nhóm thiết bị này trở thành mục tiêu đáng lo ngại.
Cụ thể, lỗ hổng nằm ở quá trình xử lý tín hiệu timer trong các nhịp lập lịch CPU (scheduler tick). Trong một khoảng thời gian rất ngắn nhưng nguy hiểm, nhân Linux có thể vừa thu thập các timer cần kích hoạt, vừa xử lý chúng, tạo ra một cửa sổ race condition. Kẻ tấn công có thể lợi dụng thời điểm này để giải phóng bộ nhớ của timer trong khi kernel vẫn đang sử dụng nó.
Lỗi này chỉ xuất hiện trên các hệ thống không bật cấu hình CONFIG_POSIX_CPU_TIMERS_TASK_WORK, một thiết lập thường gặp trên Android 32-bit và nhiều thiết bị nhúng, khiến nhóm thiết bị này trở thành mục tiêu đáng lo ngại.
Lỗ hổng được phát hiện và công bố như thế nào?
Mã khai thác thử nghiệm (PoC) cho CVE-2025-38352 đã được nhà nghiên cứu bảo mật Faraz Sth công bố công khai trên GitHub. PoC này không chỉ chứng minh lỗ hổng tồn tại mà còn cho thấy khả năng kích hoạt lỗi use-after-free ngay trong nhân hệ điều hành.
Theo các cảnh báo từ Faith2dxy, lỗ hổng này đã bị khai thác trong các cuộc tấn công có mục tiêu giới hạn, cho thấy nguy cơ không chỉ dừng lại ở lý thuyết nghiên cứu.
Theo các cảnh báo từ Faith2dxy, lỗ hổng này đã bị khai thác trong các cuộc tấn công có mục tiêu giới hạn, cho thấy nguy cơ không chỉ dừng lại ở lý thuyết nghiên cứu.
Cơ chế khai thác: Lỗ hổng bị lợi dụng như thế nào?
Quá trình khai thác CVE-2025-38352 đòi hỏi kẻ tấn công có quyền truy cập cục bộ và khả năng điều khiển thời điểm thực thi chính xác, nhưng khi thành công, hậu quả là rất nghiêm trọng.
Về mặt kỹ thuật, kẻ tấn công sẽ:
Về mặt kỹ thuật, kẻ tấn công sẽ:
- Tạo một POSIX CPU timer được thiết lập kích hoạt sau một khoảng CPU time cụ thể
- Ép một luồng (thread) rơi vào trạng thái zombie đúng thời điểm kernel đang xử lý timer
- Thu hồi (reap) tiến trình zombie trong khi nhân vẫn đang duyệt danh sách timer
- Gọi syscall timer_delete() để xóa timer và giải phóng vùng nhớ quá sớm
- Khi kernel tiếp tục xử lý timer đã bị xóa, lỗi use-after-free xảy ra
Trên các hệ thống có bật KASAN (Kernel Address Sanitizer), lỗi sẽ hiển thị dưới dạng cảnh báo ghi vào vùng nhớ đã giải phóng trong hàm posix_timer_queue_signal(). Trên hệ thống thông thường, cảnh báo xuất hiện trong send_sigqueue() – dấu hiệu rõ ràng cho thấy bộ nhớ kernel đã bị thao túng sai lệch.
Mức độ nguy hiểm và rủi ro tiềm ẩn
Dù yêu cầu điều kiện khai thác khá khắt khe, CVE-2025-38352 vẫn được đánh giá là nguy hiểm, bởi:
- Lỗi xảy ra trong nhân Linux, tầng đặc quyền cao nhất của hệ điều hành
- Khai thác thành công có thể dẫn tới leo thang đặc quyền, từ user lên kernel
- Tạo tiền đề cho cài mã độc kernel, rootkit, hoặc phá vỡ hoàn toàn cơ chế bảo mật
- Đặc biệt rủi ro với Android cũ, thiết bị IoT, hệ thống nhúng, nơi người dùng không thể tự cập nhật kernel
Việc PoC được công bố công khai khiến thời gian “nguy cơ” của các hệ thống chưa vá bị rút ngắn đáng kể, vì kẻ tấn công không cần tự nghiên cứu từ đầu.
Phạm vi và mức độ ảnh hưởng
Lỗ hổng ảnh hưởng đến:
- Các hệ thống Linux sử dụng POSIX CPU timers
- Thiết bị Android 32-bit
- Thiết bị nhúng, IoT, hệ thống công nghiệp chạy Linux kernel cũ
- Các môi trường không bật CONFIG_POSIX_CPU_TIMERS_TASK_WORK
Dù không thể khai thác từ xa qua Internet, nhưng trong bối cảnh malware, ứng dụng độc hại hoặc kịch bản tấn công chuỗi (chained exploit), đây có thể trở thành mảnh ghép quan trọng để chiếm quyền kiểm soát hoàn toàn thiết bị.
Đã có bản vá chưa và cách phòng tránh
Tin tích cực là Linux kernel đã phát hành bản vá chính thức thông qua các nhánh ổn định. Bản vá này ngăn các tiến trình zombie tiếp tục tham gia xử lý timer, qua đó loại bỏ hoàn toàn cửa sổ race condition.
Các chuyên gia an ninh mạng khuyến cáo:
Các chuyên gia an ninh mạng khuyến cáo:
- Cập nhật kernel ngay lập tức lên các phiên bản đã vá
- Ưu tiên kiểm tra các thiết bị Android, hệ thống nhúng, thiết bị công nghiệp
- Với doanh nghiệp, cần rà soát các hệ thống Linux chạy kernel cũ hoặc tùy biến
- Hạn chế cài đặt phần mềm không rõ nguồn gốc, đặc biệt trên Android cũ
- Theo dõi log kernel để phát hiện sớm các cảnh báo bất thường liên quan đến timer hoặc signal
CVE-2025-38352 là một ví dụ điển hình cho thấy những lỗi nhỏ trong cơ chế xử lý thời gian của kernel có thể dẫn tới hậu quả lớn. Trong khi người dùng phổ thông ít khi để ý đến các khái niệm như race condition hay use-after-free, thì với kẻ tấn công, đây lại là cánh cửa để leo thang đặc quyền và kiểm soát toàn bộ hệ thống.
Việc mã khai thác được công bố công khai càng nhấn mạnh tầm quan trọng của cập nhật bản vá kịp thời, đặc biệt với Android và các hệ thống Linux nhúng. Trong bối cảnh các cuộc tấn công ngày càng tinh vi, an toàn hệ điều hành không còn là câu chuyện của riêng chuyên gia, mà là yếu tố sống còn đối với mọi hệ thống đang vận hành ngoài kia.
Việc mã khai thác được công bố công khai càng nhấn mạnh tầm quan trọng của cập nhật bản vá kịp thời, đặc biệt với Android và các hệ thống Linux nhúng. Trong bối cảnh các cuộc tấn công ngày càng tinh vi, an toàn hệ điều hành không còn là câu chuyện của riêng chuyên gia, mà là yếu tố sống còn đối với mọi hệ thống đang vận hành ngoài kia.