ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ดูแลระบบและผู้ใช้งานระบบปฏิบัติการ Linux ถึงช่องโหว่ด้านความปลอดภัยระดับสูง CVE-2026-43503 (DirtyClone) ซึ่งอาจถูกใช้โดยผู้โจมตีที่มีสิทธิ์เข้าถึงระบบภายในเพื่อยกระดับสิทธิ์เป็น root ได้
1. รายละเอียดภัยคุกคาม
ช่องโหว่ CVE-2026-43503 หรือที่เรียกว่า “DirtyClone” (CVSS v3.1: 8.8) เป็นช่องโหว่ประเภท Local Privilege Escalation (LPE) ใน Linux Kernel โดยช่องโหว่นี้เกี่ยวข้องกับการจัดการหน่วยความจำของ Kernel ในส่วนของ socket buffers (skb) และ shared page-cache memory ซึ่งใช้เก็บข้อมูลที่เชื่อมโยงกับไฟล์บนดิสก์
ช่องโหว่นี้เกิดจากความผิดพลาดของ Linux Kernel ในการรักษาค่า flag ด้านความปลอดภัยชื่อ SKBFL_SHARED_FRAG ระหว่างการคัดลอกหรือย้ายข้อมูลของแพ็กเก็ตเครือข่ายผ่านฟังก์ชันที่เกี่ยวข้อง เช่น __pskb_copy_fclone() และ skb_shift() โดย flag ดังกล่าวมีหน้าที่ระบุว่า packet buffer มีการอ้างอิงไปยังหน่วยความจำที่ใช้ร่วมกับ page cache หรือไฟล์บนดิสก์ หาก flag นี้สูญหายระหว่างการประมวลผล Kernel อาจเข้าใจผิดว่าหน่วยความจำดังกล่าวสามารถถูกแก้ไขได้อย่างปลอดภัย ทั้งที่แท้จริงแล้วยังอ้างอิงกับข้อมูลของไฟล์ที่มีสิทธิ์สูงอยู่
ผู้โจมตีที่มีสิทธิ์ใช้งานภายในระบบ หรือสามารถรันโค้ดในบริบทของผู้ใช้ทั่วไปได้ อาจอาศัยช่องโหว่นี้เพื่อทำให้ข้อมูลของไฟล์สำคัญที่ถูกโหลดอยู่ใน page cache เช่น binary ที่มีสิทธิ์สูง ถูกแก้ไขในหน่วยความจำ โดยที่ไฟล์จริงบนดิสก์ไม่ถูกเปลี่ยนแปลง เมื่อมีการเรียกใช้งาน binary ดังกล่าวอีกครั้ง ระบบอาจใช้ข้อมูลจาก page cache ที่ถูกแก้ไขแล้ว ส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root ได้
ลักษณะของช่องโหว่นี้มีความเสี่ยงสูง เนื่องจากการโจมตีอาจไม่ทำให้ไฟล์ต้นฉบับบนดิสก์เปลี่ยนแปลงโดยตรง ทำให้เครื่องมือตรวจสอบความสมบูรณ์ของไฟล์ทั่วไปอาจตรวจจับได้ยาก อีกทั้งรายงานจากนักวิจัยระบุว่าการโจมตีอาจไม่ทิ้งร่องรอยที่ชัดเจนใน kernel log หรือ audit log ในบางกรณี
2. ระบบที่อาจได้รับผลกระทบ
ระบบที่อาจได้รับผลกระทบ ได้แก่
2.1 ระบบปฏิบัติการ Linux ที่ใช้ Kernel เวอร์ชันที่ยังไม่ได้รับแพตช์แก้ไข CVE-2026-43503
2.2 ระบบ Linux ที่เปิดใช้งาน unprivileged user namespaces ซึ่งอาจทำให้ผู้ใช้ทั่วไปสามารถสร้าง namespace และได้รับ capability บางส่วนที่เกี่ยวข้องกับการจัดการเครือข่ายได้
2.3 สภาพแวดล้อมแบบ Cloud, Container, Kubernetes, CI/CD Runner หรือ Multi-tenant Server ที่อนุญาตให้ผู้ใช้หรือ workload ภายในรันโค้ดในระบบเดียวกัน
2.4 ระบบที่ใช้งานฟังก์ชันหรือ Kernel module ที่เกี่ยวข้องกับ IPsec, XFRM หรือ RxRPC เช่น esp4, esp6 และ rxrpc โดยเฉพาะหากระบบดังกล่าวยังไม่ได้รับแพตช์
3. ผลกระทบที่อาจเกิดขึ้น
หากผู้โจมตีสามารถเข้าถึงระบบภายในได้สำเร็จ ช่องโหว่นี้อาจถูกใช้เพื่อยกระดับสิทธิ์จากผู้ใช้ทั่วไปเป็น root ส่งผลให้ผู้โจมตีสามารถควบคุมระบบได้ในระดับสูงสุด เช่น อ่านหรือแก้ไขข้อมูลสำคัญ สร้างบัญชีผู้ใช้ใหม่ ติดตั้งมัลแวร์หรือ backdoor ปรับเปลี่ยนการตั้งค่าระบบ และใช้ระบบดังกล่าวเป็นฐานในการโจมตีต่อไปยังระบบอื่น
นอกจากนี้ เนื่องจากการโจมตีอาจเกิดขึ้นในระดับหน่วยความจำและไม่จำเป็นต้องแก้ไขไฟล์บนดิสก์โดยตรง จึงอาจทำให้การตรวจจับด้วยเครื่องมือตรวจสอบความสมบูรณ์ของไฟล์ หรือ File Integrity Monitoring แบบทั่วไปทำได้ยากกว่าการโจมตีที่มีการแก้ไขไฟล์อย่างชัดเจน
4. แนวทางการตรวจสอบและป้องกัน [3][4][5]
4.1 ดำเนินการอัปเดต Linux Kernel หรือแพตช์ความมั่นคงปลอดภัยที่เกี่ยวข้องกับ CVE-2026-43503 ตามประกาศจากผู้ให้บริการระบบปฏิบัติการหรือ Linux Distribution ที่ใช้งาน เช่น Debian, Ubuntu, Fedora, Red Hat, SUSE หรือ Distribution อื่น ๆ โดยควรตรวจสอบว่าแพตช์ดังกล่าวครอบคลุมการแก้ไขช่องโหว่ DirtyClone และชุดแพตช์ที่เกี่ยวข้องกับ DirtyFrag family อย่างครบถ้วน ทั้งนี้ ไม่แนะนำให้อัปเดต Kernel เป็นเวอร์ชัน release candidate บนระบบ production เว้นแต่เป็นไปตามแนวทางที่ผู้ให้บริการกำหนด
4.2 หลังติดตั้งแพตช์ ควรพิจารณารีบูตระบบเพื่อให้มั่นใจว่า Kernel ที่ได้รับการแก้ไขถูกใช้งานจริง และเพื่อลดความเสี่ยงจากข้อมูลใน page cache เดิมที่อาจถูกแก้ไขก่อนการติดตั้งแพตช์
4.3 ตรวจสอบและจำกัดการใช้งาน unprivileged user namespaces ในระบบที่ไม่มีความจำเป็นต้องใช้งาน โดยในระบบ Debian/Ubuntu สามารถพิจารณาตั้งค่า kernel.unprivileged_userns_clone=0 ผ่าน /etc/sysctl.conf เพื่อให้มีผลถาวรหลังรีบูต หรือใช้คำสั่ง sysctl -p เพื่อโหลดค่าการตั้งค่าใหม่ ทั้งนี้ ควรประเมินผลกระทบต่อ container, sandbox หรือ workload ที่ต้องพึ่งพา user namespace ก่อนดำเนินการ
4.4 หากไม่มีความจำเป็นต้องใช้งาน IPsec, XFRM หรือ RPC over UDP ให้พิจารณาปิดหรือจำกัดการโหลด Kernel module ที่เกี่ยวข้อง เช่น esp4, esp6 และ rxrpc เพื่อลด attack surface ชั่วคราว อย่างไรก็ตาม มาตรการดังกล่าวอาจส่งผลกระทบต่อระบบที่ใช้งาน IPsec, VPN, AFS หรือบริการเครือข่ายบางประเภท และไม่สามารถทดแทนการติดตั้งแพตช์ได้
4.5 ตรวจสอบสัญญาณการบุกรุกเพิ่มเติม โดยเฉพาะในช่วงเวลาก่อนติดตั้งแพตช์ เช่น บัญชีผู้ใช้ผิดปกติ ไฟล์หรือ service ที่ถูกสร้างใหม่ การเปลี่ยนแปลงสิทธิ์ของระบบ การติดตั้ง binary หรือ script แปลกปลอม และพฤติกรรมต้องสงสัยที่อาจบ่งชี้ถึงการยกระดับสิทธิ์ภายในระบบ
4.6 ตรวจสอบและปรับปรุง AppArmor profiles หรือ security profiles ที่เกี่ยวข้องกับ container environments เพื่อให้แน่ใจว่ามีการจำกัดสิทธิ์ของ workload อย่างเหมาะสม
4.7 ติดตามข่าวสารจากผู้ให้บริการระบบปฏิบัติการหรือผู้พัฒนา Linux Distribution อย่างใกล้ชิด เพื่อรับทราบสถานะของแพตช์ วิธีตรวจสอบเวอร์ชันที่ได้รับผลกระทบ และแนวทางลดความเสี่ยงเฉพาะสำหรับ Kernel เวอร์ชันที่ใช้งานอยู่
ThaiCERT ขอเน้นย้ำว่าช่องโหว่ CVE-2026-43503 เป็นช่องโหว่ระดับสูงใน Linux Kernel ที่อาจถูกใช้เพื่อยกระดับสิทธิ์เป็น root ได้ในกรณีที่ผู้โจมตีมีสิทธิ์เข้าถึงระบบภายในหรือสามารถรันโค้ดบนระบบเป้าหมายได้ ผู้ดูแลระบบจึงควรเร่งตรวจสอบเวอร์ชัน Kernel ติดตั้งแพตช์ที่เกี่ยวข้อง และจำกัดการใช้งานฟีเจอร์ที่เพิ่มพื้นผิวการโจมตี เพื่อลดความเสี่ยงจากการถูกโจมตี
แหล่งอ้างอิง
[1] https://dg.th/6cmx5qskvt
[2] https://dg.th/avjx2to5zy
[3] https://dg.th/5yphsl1qvj
[4] https://dg.th/zba1lwhid3
[5] https://dg.th/slocm0362k