Fragnesia và ssh-keysign-pwn: Hai lỗ hổng Linux mới cho phép leo thang đặc quyền và đọc dữ liệu nhạy cảm

ssh‑keysign‑pwn (CVE‑2026‑46333): Rò rỉ dữ liệu nhạy cảm của root

Lỗ hổng thứ hai, ssh‑keysign‑pwn, không trực tiếp cấp quyền root nhưng vẫn rất nguy hiểm vì nó cho phép đọc dữ liệu mà chỉ root mới được truy cập .

Nguồn gốc của lỗi nằm trong logic kiểm soát truy cập của hệ thống ptrace trong kernel. Cụ thể, hàm ptrace_may_access() xử lý sai thuộc tính của tiến trình gọi là "dumpability", dẫn đến việc kiểm tra quyền không được thực thi đúng trong một số trường hợp .

Khi điều này xảy ra, một người dùng không có đặc quyền có thể truy cập bộ nhớ hoặc file descriptor của tiến trình khác và đọc dữ liệu đáng lẽ bị bảo vệ.

Các dữ liệu có thể bị đánh cắp bao gồm:

• Khóa riêng SSH của máy chủ trong /etc/ssh/
• Hash mật khẩu trong /etc/shadow

Một PoC phổ biến nhắm vào chương trình ssh-keysign, một tiện ích setuid‑root của OpenSSH. Chương trình này mở các tệp khóa SSH trước khi hạ quyền; kẻ tấn công có thể gắn vào tiến trình đúng thời điểm để trích xuất dữ liệu hoặc file descriptor đang mở .

Các bản vá đã được đưa vào nhiều nhánh kernel ổn định, bao gồm 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 và 5.10.256 .

Vì sao các lỗi này xuất hiện dồn dập

Fragnesia và ssh‑keysign‑pwn không phải là những lỗi đơn lẻ. Chúng xuất hiện trong một chuỗi công bố lỗ hổng kernel Linux trong thời gian rất ngắn, cùng với các lỗi khác như Dirty Frag và Copyfail .

Điểm chung của nhóm lỗ hổng này:

• Chúng nhắm vào các subsystem lõi của kernel như mạng hoặc ptrace.
• Kẻ tấn công cần quyền thực thi cục bộ ban đầu.
• Sau đó có thể leo thang lên root hoặc truy cập dữ liệu nhạy cảm.

Điều này đặc biệt đáng lo trong môi trường thực tế. Ví dụ, nếu một máy chủ bị xâm nhập qua:

• lỗ hổng ứng dụng web
• container breakout
• hoặc thông tin đăng nhập bị lộ

thì các lỗi kernel kiểu này có thể nhanh chóng biến quyền truy cập hạn chế thành toàn quyền kiểm soát hệ thống.

Quản trị viên cần làm gì ngay

Vì đây là lỗ hổng trong Linux kernel, việc khắc phục bắt buộc phải cài kernel đã vá và khởi động lại hệ thống.

Các bước khuyến nghị:

• Cập nhật kernel ngay lập tức từ nhà cung cấp bản phân phối.
• Khởi động lại máy sau khi cập nhật, nếu không kernel cũ vẫn tiếp tục chạy.
• Kiểm tra phiên bản kernel đang chạy bằng lệnh

  uname -r

  để đảm bảo đã dùng bản vá.

Một số bản phân phối như AlmaLinux đã phát hành kernel mới chứa cả hai bản vá CVE‑2026‑46300 và CVE‑2026‑46333 trong cùng một bản cập nhật hệ thống .

Biện pháp tạm thời nếu chưa thể vá

Nếu việc cập nhật kernel chưa thể thực hiện ngay, có thể áp dụng các biện pháp giảm thiểu tạm thời.

Giảm thiểu Fragnesia

Nếu hệ thống không cần các module liên quan, quản trị viên có thể tạm thời vô hiệu hóa:

• esp4
• esp6
• rxrpc

Điều này giảm bề mặt tấn công nhưng có thể làm gián đoạn các chức năng mạng như IPsec .

Giảm thiểu ssh‑keysign‑pwn

Một số môi trường áp dụng hạn chế ptrace nghiêm ngặt hơn bằng cách thiết lập:

kernel.yama.ptrace_scope=2 hoặc 3

Cách này có thể ngăn PoC hiện tại nhưng có thể làm hỏng các công cụ debug như strace hoặc gdb, nên chỉ nên dùng tạm thời .

Kết luận

Fragnesia và ssh‑keysign‑pwn cho thấy một thực tế quen thuộc trong bảo mật hệ thống: lỗ hổng sau xâm nhập (post‑compromise) cực kỳ nguy hiểm. Khi kẻ tấn công đã có quyền truy cập cục bộ, những lỗi kernel như vậy có thể giúp họ nhanh chóng chiếm toàn quyền hoặc lấy cắp dữ liệu quan trọng.

Đối với hầu hết tổ chức, phản ứng đúng là khá rõ ràng:

• Cập nhật kernel để vá CVE‑2026‑46300 và CVE‑2026‑46333.
• Khởi động lại hệ thống vào kernel mới.
• Nếu nghi ngờ bị xâm nhập, hãy thay mới khóa SSH và các bí mật quan trọng.

Vì các PoC đã được công bố công khai, việc trì hoãn cập nhật có thể làm tăng đáng kể nguy cơ bị khai thác ngoài thực tế.