ช่องโหว่ Linux pedit COW เปิดทางแฮกเกอร์ยกระดับสิทธิเป็น root ผ่านการปนเปื้อนแคชไบนารี

ช่องโหว่ใหม่ในเคอร์เนล Linux ที่ถูกตั้งชื่อเล่นว่า pedit COW กำลังสร้างความกังวลในวงการความปลอดภัยไซเบอร์ เนื่องจากสามารถเปิดทางให้ผู้ใช้ทั่วไปที่ไม่มีสิทธิพิเศษสามารถยกระดับสิทธิเป็น root ได้ โดยใช้เทคนิคการปนเปื้อนข้อมูลในแคชของหน่วยความจำที่ใช้ร่วมกัน

ช่องโหว่นี้ถูกระบุหมายเลข CVE-2026-46331 และเป็นข้อบกพร่องแบบเขียนนอกขอบเขตในระบบย่อยการจัดการทราฟฟิกของเคอร์เนล โดยเฉพาะในการทำงานของ act_pedit ซึ่งเป็นฟังก์ชันที่ใช้แก้ไขแพ็กเก็ตข้อมูล ทำให้ผู้โจมตีสามารถเขียนทับข้อมูลในหน่วยความจำแคชหน้าเพจที่ปกติแล้วระบบปฏิบัติการจะแชร์ให้กับหลายกระบวนการได้

รายละเอียดของช่องโหว่ pedit COW

ช่องโหว่ pedit COW มีลักษณะคล้ายกับช่องโหว่ Dirty COW ที่เคยเป็นข่าวใหญ่ในอดีต เนื่องจากใช้หลักการเดียวกันคือการโจมตีระบบ Copy on Write ที่ใช้จัดการหน่วยความจำใน Linux แต่ pedit COW ใช้จุดอ่อนใน act_pedit ซึ่งเป็นส่วนหนึ่งของระบบควบคุมทราฟฟิก ทำให้ผู้โจมตีสามารถบิดเบือนข้อมูลที่อยู่ในแคชของเคอร์เนลที่ใช้ร่วมกันระหว่างกระบวนการต่างๆ ได้

เมื่อผู้โจมตีสามารถปนเปื้อนแคชไบนารีที่ถูกแคชไว้ในหน่วยความจำแล้ว พวกเขาสามารถทำให้เคอร์เนลเรียกใช้รหัสหรือข้อมูลที่ถูกแก้ไขโดยไม่รู้ตัว นำไปสู่การยกระดับสิทธิเป็น root ซึ่งทำให้สามารถควบคุมระบบได้อย่างสมบูรณ์

การเปิดเผยและการตอบสนองของ Red Hat

หนึ่งในเหตุการณ์ที่น่ากังวลคือ โค้ดการโจมตีที่ใช้งานได้จริงถูกเผยแพร่สู่สาธารณะภายในเวลาเพียงหนึ่งวันหลังจากที่ CVE ถูกประกาศเมื่อวันที่ 16 มิถุนายน ซึ่งแสดงให้เห็นถึงความรุนแรงของช่องโหว่นี้และความพร้อมของเครื่องมือโจมตีที่ผู้ไม่หวังดีสามารถนำไปใช้ได้ทันที

Red Hat ซึ่งเป็นหนึ่งในบริษัทที่ดูแลและพัฒนา Linux รายใหญ่ ได้ให้ระดับความรุนแรงของช่องโหว่นี้ไว้ในระดับสูง โดยทีมรักษาความปลอดภัยของ Red Hat กำลังเร่งพัฒนาแพตช์เพื่อแก้ไขจุดบกพร่องดังกล่าว ในขณะที่ผู้ใช้ทั่วไปควรติดตามการอัปเดตความปลอดภัยจากผู้ให้บริการระบบปฏิบัติการอย่างใกล้ชิด

ผลกระทบต่อผู้ใช้ Linux

ช่องโหว่นี้ส่งผลกระทบต่อระบบ Linux ที่ใช้งานเคอร์เนลเวอร์ชันที่มีช่องโหว่และเปิดใช้งานฟังก์ชัน act_pedit ซึ่งเป็นค่าเริ่มต้นในหลายดิสทริบิวชัน ระบบที่ได้รับผลกระทบรวมถึงเซิร์ฟเวอร์ คอมพิวเตอร์ส่วนบุคคล อุปกรณ์ IoT และระบบฝังตัวต่างๆ ที่ใช้ Linux เป็นระบบปฏิบัติการหลัก

ผู้ใช้ทั่วไปควรอัปเดตเคอร์เนลเป็นเวอร์ชันล่าสุดทันทีที่แพตช์ถูกปล่อยออกมา นอกจากนี้ ควรจำกัดการเข้าถึงระบบในระดับผู้ใช้ที่ไม่ได้รับอนุญาต และใช้มาตรการรักษาความปลอดภัยอื่นๆ เช่น การใช้ SELinux หรือ AppArmor เพื่อลดความเสี่ยงในการถูกโจมตี

วิธีการป้องกันเบื้องต้น

สำหรับผู้ดูแลระบบที่ยังไม่สามารถอัปเดตเคอร์เนลได้ทันที ควรพิจารณาปิดการใช้งานฟังก์ชัน act_pedit หากไม่จำเป็น หรือใช้มาตรการจำกัดสิทธิ์ผู้ใช้ที่สามารถเข้าถึงระบบปฏิบัติการได้ การตรวจสอบล็อกของระบบอย่างสม่ำเสมอเพื่อหาพฤติกรรมที่ผิดปกติก็เป็นสิ่งสำคัญ

นอกจากนี้ การใช้เครื่องมือตรวจจับการบุกรุกและการแจ้งเตือนด้านความปลอดภัยจะช่วยให้ผู้ดูแลระบบสามารถตอบสนองต่อการโจมตีได้อย่างรวดเร็ว ในระยะยาว การวางแผนจัดการความปลอดภัยแบบองค์รวมร่วมกับผู้เชี่ยวชาญด้านไซเบอร์จะเป็นแนวทางที่ดีที่สุดในการป้องกันภัยคุกคามที่ซับซ้อนเช่นนี้

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th