ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบช่องโหว่ใน Linux Kernel ที่ชื่อ “Dirty Frag” ซึ่งส่งผลกระทบต่อ Linux Distribution ส่งผลให้ผู้โจมตีที่มีสิทธิ์เข้าถึงเครื่องในระดับผู้ใช้งานทั่วไปสามารถยกระดับสิทธิ์เป็น root ได้ [1]
1. รายละเอียดช่องโหว่
ช่องโหว่ “Dirty Frag” เกิดจากข้อบกพร่องใน Linux Kernel ที่เกี่ยวข้องกับการจัดการ Page Cache ภายในระบบเครือข่าย โดยเป็นการเชื่อมโยงช่องโหว่ 2 รายการ ได้แก่
1.1 CVE-2026-43284 (CVSS v3.1: 7.8 ) เป็นช่องโหว่ที่พบในโมดูล xfrm-ESP (Encapsulating Security Payload – ESP) ของระบบเครือข่าย IPsec ในเคอร์เนล Linux ซึ่งใช้สำหรับการเข้ารหัสและรับรองความถูกต้องของข้อมูลในการสื่อสารผ่านเครือข่าย ช่องโหว่นี้มีสาเหตุจากการจัดการหน่วยความจำหรือการตรวจสอบข้อมูลแพ็กเก็ต ESP ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีสามารถสร้างแพ็กเก็ต ESP ที่ถูกออกแบบมาเป็นพิเศษ (Malformed Packet) เพื่อโจมตีระบบเป้าหมายได้ [2]
1.2 CVE-2026-43500 เป็นช่องโหว่ที่พบในโมดูล RxRPC (Remote Execution Remote Procedure Call) ใน Linux Kernel RxRPC เป็นโปรโตคอลที่ใช้สำหรับการสื่อสารแบบ RPC ในระบบเครือข่าย และมักเกี่ยวข้องกับ AFS (Andrew File System) บน Linux โดยเกิดจากการจัดการหน่วยความจำและการประมวลผลในโมดูล rxrpc.ko ที่ไม่ปลอดภัย ส่งผลให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำให้เกิด Kernel Crash หรือยกระดับสิทธิ์เป็น root ได้
ระบบที่ได้รับผลกระทบครอบคลุม Linux Distribution หลายรายการ เช่น
• Ubuntu
• Red Hat Enterprise Linux (RHEL)
• Fedora
• CentOS Stream
• AlmaLinux
• openSUSE
• Arch Linux
• WSL2
2. ผลกระทบที่เกิดขึ้น
2.1 ผู้โจมตีสามารถยกระดับสิทธิ์จนถึงระดับ Root
2.2 ระบบอาจถูกควบคุมหรือถูกฝังมัลแวร์ในระดับเคอร์เนล
2.3 ทำให้ Kernel ทำงานผิดพลาดหรือเกิด Denial of Service (DoS)
2.4 การรั่วไหลหรือถูกดักจับข้อมูลที่ส่งผ่าน IPsec
2.5 ใช้เครื่องที่ถูกโจมตีเป็นฐานสำหรับการโจมตี
ทั้งนี้ หน่วยงานสามารถติดตามข้อมูลเพิ่มเติมได้ที่ https://dg.th/5o2r3jbu0p
3. แนวทางแก้ไข
3.1 อัปเดต Linux Kernel เป็นเวอร์ชันล่าสุด
3.2 อัปเดตแพ็กเกจที่เกี่ยวข้องกับ IPsec
3.3 ตรวจสอบว่ามีการโหลดโมดูล rxrpc อยู่ในระบบหรือไม่
4. มาตรการชั่วคราวหากยังไม่สามารถอัปเดตได้ทันที
4.1 หากยังไม่สามารถอัปเดต Kernel ได้ทันที แนะนำให้ปิดการใช้งานโมดูล RxRPC ชั่วคราว
4.2 หากไม่จำเป็นปิดการใช้งาน IPsec ESP ชั่วคราว
4.3 จำกัดการเข้าถึงพอร์ตและโปรโตคอลที่เกี่ยวข้องกับ IPsec
แหล่งอ้างอิง