Lỗ hổng nghiêm trọng Linux Kernel CVE-2024-53141

Linux Kernel – nền tảng xương sống của hàng triệu hệ thống máy chủ, thiết bị nhúng và hạ tầng đám mây – vừa bị phát hiện tồn tại một lỗ hổng bảo mật nghiêm trọng với mã định danh CVE-2024-53141. Lỗ hổng này không chỉ ảnh hưởng đến các phiên bản kernel từ rất sớm (v2.7) đến tận bản mới (v6.12), mà còn có khả năng bị khai thác thực tế nhờ mã PoC đã được công khai. Đây là hồi chuông cảnh báo đối với cộng đồng quản trị hệ thống và bảo mật hạ tầng Linux.

1. Chi tiết về lỗ hổng Linux Kernel CVE-2024-53141

Lỗ hổng CVE-2024-53141 được xác định nằm trong thành phần ipset thuộc netfilter – một phần quan trọng trong hệ thống tường lửa và NAT trên Linux. Đây là lỗ hổng truy cập ngoài vùng nhớ (Out-of-Bounds Access), có thể bị khai thác để:

• Leo thang đặc quyền lên root

• Bỏ qua kỹ thuật bảo vệ KASLR (Kernel Address Space Layout Randomization)

• Thực thi mã tùy ý ở cấp kernel

Lỗ hổng có điểm CVSS là 7.8, xếp vào mức cao, đặc biệt nghiêm trọng nếu hệ thống có sử dụng ipset trong cấu hình tường lửa hoặc lọc gói tin.

Nguyên nhân gốc

Lỗi nằm ở hàm bitmap_ip_uadt() khi xử lý tham số IPSET_ATTR_CIDR. Trường hợp IPSET_ATTR_IP_TO không tồn tại nhưng IPSET_ATTR_CIDR có mặt, hệ thống sẽ hoán đổi giá trị ip và ip_to mà không kiểm tra giới hạn giá trị, gây ra truy cập ngoài phạm vi hợp lệ của bộ nhớ.

2. Kỹ thuật khai thác và chuỗi exploit

Lỗ hổng không chỉ dừng lại ở mức lý thuyết. Một nhà nghiên cứu bảo mật đã công khai chi tiết kỹ thuật và mã khai thác (Proof of Concept – PoC), cho thấy rõ ràng nguy cơ khai thác thực tế.

Chuỗi khai thác gồm các bước chính:

1. Heap leak thông qua OOB write

   • Lợi dụng hàm ip_set_init_comment() để ghi tràn sang các vùng nhớ bên cạnh (như socket buffer), từ đó rò rỉ địa chỉ heap của kernel.

2. Ghi tùy ý vào vùng nhớ ngoài phạm vi

   • Thông qua ip_set_init_counter(), attacker có thể ghi các giá trị giả mạo vào vùng nhớ quan trọng, thao túng cấu trúc dữ liệu kernel.

3. Chuyển OOB thành Use-After-Free qua msg_msgseg

   • Sử dụng kỹ thuật layout memory, attacker chiếm lại vùng bộ nhớ đã giải phóng để kiểm soát luồng thực thi.

4. Payload cuối cùng:

   • Tính toán địa chỉ base của kernel

   • Ghi đè pipe_buffer->ops

   • Áp dụng kỹ thuật core_pattern overwrite để trỏ tới một file thực thi do attacker kiểm soát

   • Khi bất kỳ tiến trình nào bị crash → attacker chiếm quyền root thông qua shell

3. Ai đang bị ảnh hưởng?

• Tất cả hệ thống sử dụng Linux Kernel từ phiên bản 2.7 đến 6.12

• Đặc biệt nghiêm trọng nếu có sử dụng netfilter và ipset trong cấu hình tường lửa, NAT hoặc routing

4. Khuyến nghị ứng phó ngay lập tức

Với việc PoC đã được công bố công khai trên GitHub, nguy cơ hệ thống bị khai thác là rất cao. Các tổ chức và quản trị viên nên:

• Cập nhật kernel lên phiên bản mới nhất có vá lỗi

• Kiểm tra cấu hình hệ thống để xác định có sử dụng ipset hay không

• Nếu chưa thể cập nhật ngay:

  • Kích hoạt các cơ chế bảo vệ như SELinux hoặc AppArmor

  • Áp dụng sandboxing, namespace isolation để giới hạn ảnh hưởng

  • Tăng cường giám sát các hành vi bất thường ở cấp độ kernel

Lỗ hổng CVE-2024-53141 là một minh chứng rõ ràng rằng ngay cả các hệ thống mã nguồn mở, được sử dụng rộng rãi như Linux cũng không tránh khỏi rủi ro bảo mật. Việc khai thác lỗ hổng này có thể dẫn đến quyền kiểm soát toàn bộ hệ thống, gây hậu quả nghiêm trọng nếu không được xử lý kịp thời. Trong bối cảnh mã khai thác đã được công khai, việc chủ động vá lỗi và tăng cường bảo vệ hệ thống là điều tối quan trọng để đảm bảo an toàn cho hạ tầng công nghệ.

Trên đây là bài viết chia sẻ cho bạn về Lỗ hổng nghiêm trọng Linux Kernel cho phép thực thi mã và leo thang đặc quyền. Mong rằng những thông tin này sẽ hữu ích cho bạn

Xem thêm các bài viết hữu ích khác tại đây.

P.A Việt Nam cung cấp đa dạng các Plan Hosting đáp ứng yêu cầu của khách hàng

Hosting WordPress
Hosting Phổ Thông
Hosting Chất Lượng Cao

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/