Lỗ hổng được Red Hat đánh giá ở mức Important và cho phép một người dùng cục bộ không có quyền quản trị leo thang đặc quyền để chiếm quyền root trên hệ thống bị ảnh hưởng.
Điểm đáng lo ngại là cuộc tấn công không cần khai thác từ xa mà chỉ cần tài khoản người dùng thông thường trên máy. Trong nhiều môi trường như máy chủ chia sẻ, máy build phần mềm, máy chủ Kubernetes hoặc hệ thống nhiều người dùng, điều này vẫn tạo ra nguy cơ rất lớn.
Tuy nhiên, trong hàm tcf_pedit_act(), kernel lại kiểm tra phạm vi bộ nhớ có thể ghi quá sớm, trước khi xác định chính xác vị trí cuối cùng cần chỉnh sửa.
Khi một số khóa chỉnh sửa (edit keys) chỉ được xác định trong quá trình chạy (runtime), thao tác ghi dữ liệu có thể vượt ra ngoài vùng bộ nhớ riêng vừa được tạo và vô tình ghi trực tiếp vào page cache – vùng nhớ dùng chung để lưu nội dung các tệp tin trên hệ thống. Chính sai sót này khiến dữ liệu trong page cache bị thay đổi dù tập tin gốc trên ổ đĩa hoàn toàn không hề bị sửa.
Đầu tiên, kẻ tấn công sử dụng quyền CAP_NET_ADMIN có được trong User Namespace để tạo các quy tắc Traffic Control chứa hành động pedit. Khi kernel xử lý quy tắc này, lỗi kiểm tra vùng nhớ khiến dữ liệu bị ghi đè lên bản sao đang nằm trong page cache của một tệp thực thi đặc quyền, chẳng hạn /bin/su.
Kẻ tấn công chèn vào đó một đoạn mã nhỏ (payload). Điều đặc biệt là:
-
File /bin/su trên ổ cứng hoàn toàn không thay đổi.
-
Kiểm tra checksum hoặc File Integrity Monitoring vẫn cho kết quả bình thường.
-
Chỉ có bản sao đang tồn tại trong bộ nhớ bị sửa đổi.
Nói cách khác, kẻ tấn công có thể chiếm quyền root mà gần như không để lại dấu vết trên tập tin gốc.
-
RHEL 10
-
Debian 13 (Trixie)
Red Hat xác nhận:
-
RHEL 8 bị ảnh hưởng
-
RHEL 9 bị ảnh hưởng
-
RHEL 10 bị ảnh hưởng
Chỉ đến ngày 16/6, khi bản vá chính thức được hợp nhất và được gán mã CVE-2026-46331, các nhà nghiên cứu mới nhanh chóng phân tích thay đổi trong mã nguồn, nhận diện khả năng khai thác và công bố PoC chỉ trong vòng 24 giờ.
Điều này một lần nữa cho thấy việc phân tích các commit vá lỗi công khai đã trở thành phương pháp phổ biến để các nhà nghiên cứu cũng như tin tặc nhanh chóng xây dựng mã khai thác trước khi nhiều hệ thống kịp cập nhật bản vá.
-
Chiếm toàn quyền root trên máy Linux.
-
Cài đặt backdoor hoặc rootkit để duy trì quyền truy cập lâu dài.
-
Đánh cắp dữ liệu nhạy cảm.
-
Tắt các cơ chế bảo mật.
-
Mở rộng tấn công sang các máy chủ khác trong cùng hệ thống.
-
Thực hiện các hành vi phá hoại hoặc triển khai mã độc tống tiền.
Trong trường hợp chưa thể cập nhật ngay, có thể áp dụng một số biện pháp giảm thiểu tạm thời như vô hiệu hóa module act_pedit nếu hệ thống không sử dụng tính năng này hoặc tắt User Namespace dành cho người dùng không có đặc quyền. Tuy nhiên, giải pháp này có thể ảnh hưởng tới container không đặc quyền, môi trường CI/CD hoặc một số trình duyệt và ứng dụng sandbox, do đó cần đánh giá kỹ trước khi triển khai.
Nếu nghi ngờ hệ thống đã bị khai thác, việc chỉ xóa page cache sẽ không đủ vì kẻ tấn công có thể đã mở được phiên làm việc với quyền root. Trong trường hợp đó, máy chủ cần được coi là đã bị xâm nhập và tiến hành quy trình ứng phó sự cố đầy đủ, bao gồm điều tra, thu thập bằng chứng và cài đặt lại nếu cần thiết.





