Chuỗi tấn công F5 BIG‑IP và lỗi leo thang đặc quyền Linux đang mở đường vào mạng doanh nghiệp

Copy Fail (CVE‑2026‑31431)

“Copy Fail” là lỗ hổng trong kernel Linux được công bố vào ngày 29/4/2026, ảnh hưởng đến các kernel được xây dựng từ năm 2017 trở đi. Lỗi nằm trong thành phần algif_aead của giao diện mật mã người dùng (AF_ALG).

Lỗ hổng cho phép tiến trình không đặc quyền làm hỏng bộ nhớ page‑cache thông qua một chuỗi thao tác nhất định, từ đó có thể nâng quyền lên root.

Điểm quan trọng: Copy Fail không thể khai thác từ xa một mình. Kẻ tấn công phải có quyền truy cập cục bộ trước — ví dụ thông qua shell có được sau khi khai thác thiết bị F5.

Dirty Frag (CVE‑2026‑43284)

“Dirty Frag” là nhóm lỗ hổng kernel Linux ảnh hưởng đến các thành phần mạng như module IPsec ESP (esp4, esp6).

Các lỗi này cho phép người dùng cục bộ thao túng page‑cache thông qua đường xử lý mạng trong kernel, dẫn đến việc leo thang đặc quyền lên root trên nhiều hệ thống Linux.

Tương tự Copy Fail, Dirty Frag cũng là lỗ hổng hậu khai thác (post‑exploitation): kẻ tấn công cần có quyền chạy mã trên hệ thống trước khi sử dụng.

Bước 3: Di chuyển từ thiết bị biên vào mạng nội bộ

Sau khi đạt quyền root trên thiết bị, tin tặc có thể thu thập thông tin xác thực, token đăng nhập hoặc các bí mật cấu hình được lưu trên hệ thống.

Các nhà nghiên cứu đã quan sát trường hợp kẻ tấn công từ thiết bị F5 bị xâm nhập di chuyển vào hệ thống nội bộ, bao gồm cả máy chủ Confluence – nền tảng cộng tác phổ biến trong doanh nghiệp.

Thiết bị biên thường có nhiều mối quan hệ tin cậy với hạ tầng nội bộ. Khi bị kiểm soát, chúng có thể cho phép kẻ tấn công:

• Truy cập mạng quản trị nội bộ
• Đánh cắp cookie xác thực hoặc chứng chỉ
• Truy vấn dịch vụ danh tính
• Di chuyển ngang sang máy chủ ứng dụng

Các chuyên gia bảo mật của Microsoft cho rằng đây là xu hướng ngày càng phổ biến: tin tặc tấn công thiết bị bảo mật hướng internet vì chúng vừa dễ tiếp cận từ bên ngoài vừa được tin cậy sâu bên trong hệ thống doanh nghiệp.

Vì sao chuỗi tấn công này hiệu quả

Chuỗi tấn công nhiều bước này hoạt động hiệu quả vì mỗi lỗ hổng riêng lẻ có vẻ hạn chế nhưng khi kết hợp lại sẽ rất mạnh:

• Lỗ hổng RCE trên thiết bị biên cung cấp điểm truy cập ban đầu.
• Lỗi leo thang đặc quyền Linux biến truy cập hạn chế thành kiểm soát toàn hệ thống.
• Vị trí tin cậy trong mạng giúp kẻ tấn công tiếp cận hệ thống nội bộ.

Một foothold nhỏ trên thiết bị biên có thể nhanh chóng biến thành xâm nhập toàn bộ doanh nghiệp nếu kẻ tấn công leo thang đặc quyền và di chuyển ngang thành công.

Ưu tiên phòng thủ cho tổ chức

Để giảm rủi ro từ chuỗi tấn công này, các tổ chức cần xử lý cả điểm xâm nhập ban đầu lẫn khả năng leo thang đặc quyền sau khi bị xâm nhập.

1. Vá ngay các hệ thống F5 BIG‑IP

Cập nhật các triển khai BIG‑IP APM bị ảnh hưởng để khắc phục CVE‑2025‑53521, đặc biệt là những hệ thống đang mở ra internet.

Các cơ quan an ninh mạng khuyến nghị xử lý lỗ hổng này với mức ưu tiên cao do đã có khai thác thực tế.

2. Cập nhật kernel Linux

Áp dụng bản vá cho:

• CVE‑2026‑31431 (Copy Fail)
• CVE‑2026‑43284 và các lỗi Dirty Frag liên quan

Các lỗ hổng này ảnh hưởng đến nhiều bản phân phối Linux phổ biến phát hành từ năm 2017.

3. Hạn chế truy cập shell trên thiết bị biên

Vì Copy Fail và Dirty Frag cần thực thi cục bộ, việc hạn chế hoặc tắt truy cập shell trên các thiết bị biên sẽ giảm đáng kể khả năng khai thác.

Quyền quản trị nên được kiểm soát chặt và ghi log đầy đủ.

4. Vô hiệu hóa module kernel dễ bị khai thác khi chưa kịp vá

Nếu chưa thể vá ngay, có thể tạm thời chặn các module kernel liên quan đến Dirty Frag — ví dụ esp4 và esp6 — sau khi đánh giá tác động vận hành.

5. Tăng cường bảo mật container và môi trường dùng chung kernel

Các lỗ hổng LPE trong kernel có thể dẫn tới container escape. Do đó nên:

• Tránh container chạy ở chế độ privileged
• Giảm bề mặt kernel module
• Hạn chế workload không tin cậy

6. Giám sát dấu hiệu hậu khai thác

Các hệ thống giám sát nên tập trung phát hiện các tín hiệu như:

• Phiên shell bất thường trên thiết bị biên
• Tải hoặc kích hoạt module kernel bất thường
• Thay đổi quyền đột ngột lên root
• Kết nối outbound từ hệ thống hạ tầng
• Truy cập bất thường vào hệ thống cộng tác hoặc dịch vụ danh tính

Bằng chứng và giới hạn

Các báo cáo bảo mật đã xác nhận mô hình tấn công chung: khai thác thiết bị biên, leo thang đặc quyền trên Linux, rồi di chuyển sang hệ thống nội bộ.

Tuy nhiên, bằng chứng công khai cho thấy một chiến dịch duy nhất liên tục kết hợp chính xác CVE‑2025‑53521 với Copy Fail và Dirty Frag trên nhiều nạn nhân vẫn còn hạn chế. Các lỗ hổng này có thể kết hợp về mặt kỹ thuật, nhưng cách triển khai của từng nhóm tấn công có thể khác nhau.

Bài học lớn về an ninh mạng

Trước đây, thiết bị biên thường được xem là các hệ thống bảo mật được “gia cố”. Nhưng thực tế hiện nay cho thấy chúng đang trở thành điểm truy cập ban đầu có giá trị cao.

Khi một thiết bị hướng internet chạy Linux bên trong, bất kỳ lỗ hổng leo thang đặc quyền nào trong hệ sinh thái Linux đều có thể trở thành một mắt xích trong chuỗi tấn công lớn hơn. Vì vậy, vá lỗi nhanh chóng, kiểm soát truy cập chặt chẽ và giám sát liên tục quanh hạ tầng biên là yếu tố then chốt để bảo vệ mạng doanh nghiệp hiện đại.