ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบ Proof-of-Concept Exploit ของช่องโหว่ตัวใหม่ใน Linux Kernel ชื่อ DirtyDecrypt หรือ DirtyCBC ที่หมายเลข CVE-2026-31635 (CVSS v3.1: 7.5) [1] ช่องโหว่นี้เป็นภัยคุกคามประเภทการยกระดับสิทธิ์ภายในเครื่อง (Local Privilege Escalation) ที่อาจเปิดโอกาสให้ผู้โจมตีสามารถยกระดับสิทธิ์จากผู้ใช้งานทั่วไปเป็นสิทธิ์ระดับ Root และเข้าควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์ [2]
1. รายละเอียดลักษณะการทำงานของภัยคุกคาม
1.1 การเจาะระบบผ่านโมดูลเครือข่าย
ช่องโหว่นี้พุ่งเป้าไปที่โมดูล rxgk ของ Linux Kernel ซึ่งทำหน้าที่รองรับความปลอดภัยของระบบไฟล์เครือข่ายแบบกระจาย Andrew File System (AFS) และการรับส่งข้อมูลผ่านเครือข่าย
1.2 การเขียนทับหน่วยความจำแคช
ช่องโหว่เกิดจากความผิดพลาดในฟังก์ชัน rxgk_decrypt_skb และการขาดกลไกป้องกัน Copy-on-Write (COW Guard) ส่งผลให้ผู้โจมตีสามารถเขียนหรือแก้ไขข้อมูลในหน่วยความจำแคชของเคอร์เนลได้โดยตรง
1.3 การยกระดับสิทธิ์เป็น Root
เมื่อผู้โจมตีสามารถรันโค้ดสาธิตการโจมตีภายในเครื่องได้สำเร็จ อาจสามารถข้ามผ่านกลไกความปลอดภัยของระบบ และยกระดับสิทธิ์จากผู้ใช้งานทั่วไปขึ้นเป็นสิทธิ์ระดับ Root ได้ทันที ส่งผลให้สามารถเข้าถึงข้อมูลสำคัญ ลบหรือทำลายระบบ ติดตั้งมัลแวร์ หรือควบคุมระบบของเหยื่อได้อย่างสมบูรณ์
2. ระบบปฏิบัติการที่อาจได้รับผลกระทบ
2.1 ระบบที่เปิดใช้งานฟังก์ชันเฉพาะ
ระบบปฏิบัติการ Linux ที่มีการเปิดใช้งาน Configuration “CONFIG_RXGK” ภายใน Kernel เพื่อรองรับระบบ AFS อาจได้รับผลกระทบจากช่องโหว่นี้
2.2 ระบบปฏิบัติการเวอร์ชันใหม่
ช่องโหว่นี้ส่งผลกระทบโดยตรงต่อ Linux Distributions ที่อัปเดตและใช้เคอร์เนลสายการพัฒนาหลักล่าสุด เช่น Fedora, Arch Linux และ openSUSE Tumbleweed
3. รูปแบบการแพร่กระจายและการโจมตี
DirtyDecrypt เป็นช่องโหว่ประเภทการยกระดับสิทธิ์ภายในเครื่อง ผู้โจมตีจึงมักใช้ร่วมกับเทคนิคการโจมตีอื่นเพื่อเข้าถึงระบบในระยะแรกก่อน จากนั้นจึงใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์และยึดครองระบบ โดยมีรูปแบบที่อาจพบได้ ดังนี้
3.1 การเข้าถึงระบบเบื้องต้น (Initial Access)
ผู้โจมตีอาจหลอกล่อให้เหยื่อดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ แนบไฟล์อันตรายผ่านช่องทางแชทหรืออีเมล หรือใช้ช่องโหว่อื่นร่วมกันเพื่อฝังตัวเข้าสู่ระบบในระดับผู้ใช้งานทั่วไปก่อน
3.2 การยึดครองระบบอย่างสมบูรณ์
เมื่อสามารถเข้าถึงระบบได้แล้ว ผู้โจมตีอาจรันโค้ด DirtyDecrypt เพื่อยกระดับสิทธิ์เป็น Root ซึ่งทำให้สามารถควบคุมระบบ แก้ไขไฟล์สำคัญ เข้าถึงข้อมูลภายใน ติดตั้งเครื่องมือโจมตี หรือใช้ระบบดังกล่าวเป็นฐานสำหรับโจมตีระบบอื่นต่อไปได้
3.3 ความเสี่ยงจาก Proof-of-Concept Exploit
การปรากฏของ Proof-of-Concept Exploit ทำให้ช่องโหว่นี้มีความเสี่ยงเพิ่มขึ้น เนื่องจากผู้โจมตีอาจนำโค้ดสาธิตไปดัดแปลงเพื่อใช้โจมตีจริง โดยเฉพาะในระบบที่ยังไม่ได้ติดตั้งแพตช์ หรือยังเปิดใช้งานโมดูลที่เกี่ยวข้องอยู่
4. แนวทางการป้องกันและลดความเสี่ยง
4.1 อัปเดตระบบปฏิบัติการทันที
แนะนำให้ผู้ดูแลระบบและผู้ใช้งาน Linux ตรวจสอบและติดตั้งแพตช์ความปลอดภัย รวมถึงอัปเดต Linux Kernel ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด
4.2 ใช้มาตรการลดผลกระทบชั่วคราว
ในกรณีที่ยังไม่สามารถอัปเดตแพตช์ได้ทันที ควรพิจารณาปิดการใช้งานโมดูลหรือฟังก์ชันที่เกี่ยวข้องกับ rxgk/AFS เพื่อลดความเสี่ยงจากการถูกใช้เป็นช่องทางโจมตี
4.3 ตรวจสอบการเปิดใช้งาน CONFIG_RXGK
ผู้ดูแลระบบควรตรวจสอบว่า Kernel ของระบบมีการเปิดใช้งาน CONFIG_RXGK หรือไม่ หากไม่มีความจำเป็นในการใช้งาน AFS หรือโมดูลที่เกี่ยวข้อง ควรปิดการใช้งานเพื่อลดพื้นที่เสี่ยงในการโจมตี
4.4 จำกัดสิทธิ์ผู้ใช้งานภายในระบบ
ควรจำกัดสิทธิ์ของบัญชีผู้ใช้งานทั่วไป ใช้หลัก Least Privilege และตรวจสอบบัญชีที่สามารถเข้าถึงระบบผ่าน SSH หรือช่องทาง Remote Access อย่างสม่ำเสมอ
4.5 เฝ้าระวังพฤติกรรมผิดปกติ
ควรตรวจสอบ Log และพฤติกรรมที่อาจบ่งชี้ถึงการยกระดับสิทธิ์ เช่น การเรียกใช้งานไฟล์ต้องสงสัย การเปลี่ยนแปลงสิทธิ์ของไฟล์ระบบ การสร้างบัญชีผู้ใช้ใหม่ หรือการเรียกใช้คำสั่งที่เกี่ยวข้องกับ Kernel/Module โดยผิดปกติ
แหล่งอ้างอิง