Lỗ hổng trong Arch Linux cho phép khai thác chiếm quyền root

Vừa qua, nhóm nghiên cứu bảo mật V12 Security đã công bố mã khai thác proof-of-concept (PoC) cho lỗ hổng leo thang đặc quyền cục bộ (LPE) mang tên PinTheft trên Linux kernel. Lỗ hổng tồn tại trong module RDS (Reliable Datagram Sockets) của kernel và đặc biệt nguy hiểm với người dùng Arch Linux. Bản vá kernel đã được phát hành từ ngày 05/05/2026, tuy nhiên việc PoC được công bố rộng rãi trên internet đặt ra mức độ nguy hiểm cao đối với các hệ thống chưa cập nhật.

Thông tin chi tiết

• Định danh lỗ hổng: CVE-2026-43494

• Điểm CVSS(3.1): 7.8

• Mức độ nghiêm trọng: HIGH – Nghiêm trọng cao

• Mô tả: PinTheft khai thác lỗi double-free trong đường dẫn zerocopy của RDS (rds_message_zcopy_from_user()). Hàm này pin từng trang bộ nhớ người dùng một cách tuần tự; nếu một trang sau gặp lỗi page fault, đường dẫn xử lý lỗi sẽ giải phóng các trang đã được pin trước đó, nhưng quá trình dọn dẹp RDS message sau đó lại giải phóng chúng thêm một lần nữa do các scatterlist entry và entry count vẫn còn tồn tại sau khi zcopy notifier bị xóa. Kết hợp với io_uring fixed buffers, kẻ tấn công có thể chuyển đổi lỗi double-free này thành hành vi ghi đè page cache, sau đó leo thang đặc quyền lên root mà không cần race condition.

• Phiên bản bị ảnh hưởng: Linux kernel từ phiên bản 4.17 (2018) trở đi khi kết hợp với các tính năng io_uring hiện đại; PoC nhắm vào kiến trúc x86_64.

Lỗ hổng được phát hiện bởi Aaron Esau của V12 Security Team, phối hợp công bố có trách nhiệm (coordinated disclosure) cùng cộng đồng Linux kernel. Nhóm chỉ phát hành PoC sau khi xác nhận bản vá đã được tích hợp upstream.

![](https://cdn.hashnode.com/uploads/covers/669e7a2f2c109ecd663148bd/56c4e052-fa65-4830-9865-305355d680c4.webp align="middle")

Điều kiện khai thác CVE-2026-43494 cần phải đạt đủ các tiêu chí sau:

• Module RDS được tải

• io_uring được bật

• Tồn tại SUID-root binary có thể đọc

• Kiến trúc x86_64

Đối với Arch Linux, tất cả các yếu tố trên đều mặc định được cài đặt và kích hoạt sẵn. Các bản phân phối lớn khác như Ubuntu, Debian, Fedora, RHEL, AlmaLinux, Rocky Linux đều chặn hoặc không build module RDS theo mặc định, do đó bề mặt tấn công thực tế bị thu hẹp đáng kể ở các hệ thống này, chỉ tác động lên các hệ thống sử dụng Arch Linux.

Quá trình khai thác có thể được chia thành các giai đoạn sau:

Bước 1: Thu thập thông tin (Reconnaissance)

• Mục tiêu: Xác định hệ thống mục tiêu đang chạy Arch Linux với module RDS được tải.

• Hành động: Kẻ tấn công tìm kiếm quyền truy cập cục bộ (local access) vào máy chủ Arch Linux — có thể thông qua tài khoản người dùng thấp quyền hợp lệ, SSH, hoặc khai thác một lỗ hổng khác để có được foothold ban đầu.

Bước 2: Kích hoạt lỗi Double-Free (Exploitation)

• Gửi zerocopy RDS message với các trang bộ nhớ được thiết kế đặc biệt để kích hoạt page fault có chủ đích.

• Mỗi lần gửi zerocopy thất bại sẽ "đánh cắp" một reference từ trang đầu tiên, dần dần tạo ra trạng thái double-free có thể kiểm soát.

Bước 3: Ghi đè Page Cache (Page-Cache Overwrite)

• Kết hợp lỗi double-free với io_uring fixed buffers để chuyển đổi thành hành vi ghi tùy ý vào page cache của kernel.

• Nhắm vào page cache của một SUID-root binary đang tồn tại trên hệ thống để thay thế nội dung bằng payload độc hại.

Bước 4 Leo thang đặc quyền (Privilege Escalation)

• Thực thi SUID binary đã bị thao túng để kích hoạt payload.

• Kết quả: kẻ tấn công giành được root shell hoàn toàn — không cần race condition, khai thác có tính ổn định và lặp lại được.

![](https://cdn.hashnode.com/uploads/covers/669e7a2f2c109ecd663148bd/5c7459f5-f416-406d-94a3-03e245b0d816.png align="middle")

Bước 5: Hậu khai thác (Post-Exploitation)

• Cài đặt backdoor để duy trì truy cập lâu dài ngay cả sau khi lỗ hổng được vá.

• Đánh cắp SSH host key, credentials và các dữ liệu nhạy cảm trong bộ nhớ của các tiến trình SUID.

• Sử dụng máy bị kiểm soát làm bàn đạp tấn công lateral movement vào các hệ thống khác trong mạng nội bộ.

PinTheft tiếp nối một làn sóng lỗ hổng LPE trên Linux kernel được công bố liên tiếp trong thời gian gần đây, bao gồm Copy Fail (CVE-2026-31431 — đã bị khai thác thực tế và được CISA đưa vào danh sách KEV), cùng DirtyDecrypt, DirtyCBC, Dirty Frag và Fragnesia — tất cả đều cùng lớp lỗ hổng ghi đè page cache.

Khuyến nghị & Khắc phục

Bản vá kernel đã có sẵn và việc áp dụng cần được coi là ưu tiên khẩn cấp, đặc biệt với các hệ thống Arch Linux. Đội ngũ FPT Threat Intelligence khuyến nghị người dùng và quản trị viên thực hiện ngay các hành động sau:

• Cập nhật bản vá: Cài đặt ngay gói kernel mới nhất trên Arch Linux. Bản vá upstream tương ứng với commit 0cebaccef3ac trên nhánh netdev. Người dùng Arch Linux chạy pacman -Syu để nhận bản vá.

• Biện pháp tạm thời (nếu chưa thể vá ngay): Vô hiệu hóa module RDS để loại bỏ hoàn toàn bề mặt tấn công bằng các lệnh sau:

rmmod rds_tcp rds
  printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf

• Giới hạn quyền truy cập cục bộ: Áp dụng nguyên tắc least privilege — hạn chế số lượng người dùng có quyền truy cập shell trực tiếp vào các hệ thống quan trọng. Lỗ hổng này chỉ có thể bị khai thác bởi người dùng đã có quyền truy cập cục bộ vào hệ thống.

• Giám sát bảo mật: Rà soát audit log để phát hiện các hành vi bất thường liên quan đến SUID binary execution, io_uring syscall từ người dùng thấp quyền, hoặc các tiến trình đột ngột giành được đặc quyền root.

Tham khảo

1. V12 Security – PinTheft Advisory

2. Exploit released for new PinTheft Arch Linux root escalation flaw