Linux distros ต่าง ๆ กำลังทยอยออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ Kernel privilege escalation ที่มีความรุนแรงระดับสูง ซึ่งช่วยให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ Root ได้
ช่องโหว่ด้านความปลอดภัยนี้เป็นที่รู้จักในชื่อ Fragnesia และมีหมายเลข CVE-2026-46300 โดยมีสาเหตุมาจาก Logic bug ใน XFRM ESP-in-TCP subsystem ของ Linux ซึ่งทำให้ผู้โจมตีในระดับ local ที่ไม่มีสิทธิ์ สามารถยกระดับสิทธิ์เป็น Root ได้ผ่านการเขียน Byte ข้อมูลอะไรก็ได้ลงใน Kernel page cache ของไฟล์ที่ถูกกำหนดให้อ่านได้อย่างเดียว
William Bowling หัวหน้าฝ่าย Assurance ของ Zellic ผู้ค้นพบช่องโหว่ Universal local privilege escalation นี้ ยังได้เผยแพร่ชุดโค้ด Proof-of-Concept (PoC) ที่แสดงให้เห็นถึงการทำ Memory-write primitive ใน Kernel เพื่อสร้างความเสียหายให้กับหน่วยความจำ Page cache ของไฟล์ไบนารี /usr/bin/su ส่งผลให้สามารถเข้าถึง Shell ด้วยสิทธิ์ Root บนระบบที่มีช่องโหว่ได้สำเร็จ
Bowling ระบุว่า ช่องโหว่ดังกล่าวจัดอยู่ในกลุ่มช่องโหว่ Dirty Frag ซึ่งถูกเปิดเผยเมื่อสัปดาห์ที่แล้ว และส่งผลกระทบต่อ Linux kernels ทั้งหมดที่ปล่อยออกมาก่อนวันที่ 13 พฤษภาคม 2026 เช่นเดียวกับ Fragnesia ช่องโหว่ Dirty Frag มีชุดโค้ด PoC ที่เผยแพร่สู่สาธารณะ ซึ่งผู้โจมตีภายในสามารถใช้เพื่อยกระดับสิทธิ์เป็น Root บน Major Linux distributions ได้
อย่างไรก็ตาม Dirty Frag ทำงานโดยการเชื่อมโยงช่องโหว่บน Kernel 2 รายการที่แยกจากกัน ได้แก่ ช่องโหว่ xfrm-ESP Page-Cache Write (CVE-2026-43284) และช่องโหว่ RxRPC Page-Cache Write (CVE-2026-43500) เข้าด้วยกัน เพื่อทำการยกระดับสิทธิ์โดยการแก้ไขไฟล์ระบบที่ได้รับการปกป้องอยู่ภายในหน่วยความจำ
Bowling ระบุว่า "Fragnesia เป็นส่วนหนึ่งของกลุ่มช่องโหว่ Dirty Frag ซึ่งเป็น Bug ในส่วน ESP/XFRM ที่แยกต่างหากออกมาจาก dirtyfrag โดยได้รับแพตช์อัปเดตแก้ไขของตัวเองแล้ว อย่างไรก็ตาม ช่องโหว่ดังกล่าวอยู่ในพื้นที่การโจมตีเดียวกัน และมีวิธีการลดผลกระทบที่เหมือนกันกับ dirtyfrag"
"ช่องโหว่ดังกล่าวใช้ประโยชน์จาก Logic bug ใน XFRM ESP-in-TCP subsystem ของ Linux เพื่อทำการเขียน Byte ข้อมูลอะไรก็ได้ลงใน Kernel page cache ของไฟล์ที่ถูกกำหนดให้อ่านได้อย่างเดียว โดยไม่จำเป็นต้องอาศัย Race condition ใด ๆ เข้ามาช่วยเลย"
เพื่อรักษาความปลอดภัยของระบบจากการโจมตี ผู้ใช้ Linux ควรทำการอัปเดต Kernel สำหรับสภาพแวดล้อมของตนโดยเร็วที่สุด
ผู้ที่ไม่สามารถทำการอัปเดตแพตช์ระบบได้ทันที ควรใช้วิธีการลดผลกระทบแบบเดียวกับ Dirty Frag โดยการใช้คำสั่งลบ Kernel modules ที่มีช่องโหว่ออกไป (อย่างไรก็ตาม ข้อควรระวังคือวิธีนี้จะส่งผลให้ระบบไฟล์เครือข่ายแบบ AFS distributed และ IPsec VPN ไม่สามารถใช้งานได้)
การเปิดเผยช่องโหว่ Fragnesia นี้ เกิดขึ้นในขณะที่ Linux distros ต่าง ๆ ยังคงทยอยออกแพตช์อัปเดตสำหรับ "Copy Fail" ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์อีกรายการหนึ่งที่กำลังถูกใช้ในการโจมตีจริงอยู่ในปัจจุบัน
CISA ได้เพิ่ม Copy Fail ลงในรายการช่องโหว่ที่ถูกนำใช้ไปในการโจมตีจริงเมื่อวันที่ 1 พฤษภาคมที่ผ่านมา พร้อมทั้งสั่งการให้หน่วยงานของรัฐบาลกลางดำเนินการรักษาความปลอดภัยให้กับระบบ Linux ของตนภายในระยะเวลาสองสัปดาห์ หรือภายในวันที่ 15 พฤษภาคม 2026
CISA ระบุว่า "ช่องโหว่ประเภทนี้เป็นช่องทางการโจมตีที่ผู้ไม่หวังดีทางไซเบอร์มักเลือกใช้ และก่อให้เกิดความเสี่ยงอย่างมากต่อองค์กรของรัฐบาลกลาง ให้ใช้วิธีการลดผลกระทบตามคำแนะนำของผู้พัฒนาระบบ ปฏิบัติตามแนวทาง BOD 22-01 ที่เกี่ยวข้องสำหรับ Cloud services หรือระงับการใช้งานผลิตภัณฑ์ดังกล่าวหากไม่มีวิธีการลดผลกระทบ"
ก่อนหน้านี้ในเดือนเมษายน Linux distros ได้ออกแพตช์แก้ไขช่องโหว่การยกระดับสิทธิ์เป็น root อีกรายการ (ที่ชื่อว่า Pack2TheRoot) ใน PackageKit daemon ซึ่งเป็นช่องโหว่ที่แฝงตัวอยู่โดยไม่มีใครสังเกตเห็นมานานนับทศวรรษ
ที่มา : bleepingcomputer
You must be logged in to post a comment.