Cách nhà nghiên cứu bảo một quốc tế vừa tiết lộ thông tin về một lỗ hổng tương đối nghiêm trọng tồn tại trong nhân Linux (Linux kernel), có thể bị khai thác để làm rò rỉ dữ liệu và đóng vai trò như một cây cầu nối hiệu quả cho sự xâm nhập sâu hơn vào các hệ thống nạn nhân.
Được công bố đầu tiên bởi các nhà nghiên cứu đến từ tổ chức an ninh mạng Cisco Talos vào hôm 27/04 vừa qua, đây về cơ bản là một lỗ hổng tiết lộ thông tin "có thể cho phép kẻ tấn công tiếp cận với bộ nhớ stack (stack memory) của Kernel - một thành phần tối quan trọng của hệ điều hành mã nguồn mở Linux”.
Nếu bạn chưa biết thì bộ nhớ stack đóng vai trò là nơi lưu trữ các biến cục bộ trong hàm, tham số truyền vào... Quy trình truy cập vào bộ nhớ này diễn ra rất nhanh, và được thực thi khi chương trình được biên dịch. Kích thước của bộ nhớ stack là cố định, tùy thuộc vào từng hệ điều hành cụ thế. Chẳng hạn, thông thường bộ nhớ stack của hệ điều hành Windows là 1MB, trong khi của Linux là 8MB.
Lỗ hổng này hiện đang được theo dõi với mã định danh CVE-2020-28588, và bắt nguồn từ chức năng proc/pid/syscall của các thiết bị ARM 32-bit chạy hệ điều hành Linux nói chung.
Theo kết quả điều tra sơ bộ của các chuyên gia Cisco Talos, sự cố đầu tiên liên quan đến lỗ hổng này được phát hiện trên một thiết bị chạy trên Azure Sphere. Những kẻ tấn công đã tìm cách khai thác lỗ hổng bảo mật có thể đọc tệp /syscall OS thông qua Proc, một hệ thống được sử dụng để giao tiếp giữa các cấu trúc dữ liệu hạt nhân.
Mục /syscall procfs có thể bị lạm dụng nếu kẻ tấn công khởi chạy lệnh xuất ra 24 byte trong bộ nhớ stack chưa được khởi tạo, dẫn đến việc bỏ qua Kernel Address Space Layout Randomization (KASLR).
Các nhà nghiên cứu cho biết cuộc tấn công này "không thể phát hiện trên mạng từ xa" vì về cơ bản, nó là một tệp hệ điều hành Linux hợp pháp đang được đọc.
"Nếu được sử dụng đúng cách, kẻ tấn công có thể tận dụng sự cố rò rỉ thông tin này để khai thác thành công các lỗ hổng Linux bổ sung chưa được vá", nhóm Cisco nói thêm.
Các phiên bản nhân Linux 5.10-rc4, 5.4.66 và 5.9.8 là những phiên bản bị ảnh hưởng trực tiếp bởi lỗ hổng này. Hiện tại, một bản vá đã được phát hành nhằm giảm thiểu rủi ro liên quan đến lỗ hổng. Người dùng được khuyến nghị nên cập nhật các bản dựng của mình lên phiên bản mới nhất để đảm bảo an toàn.