สรุปสั้น
เมื่อวันที่ 15 พฤษภาคม 2569 นักวิจัยเปิดเผยช่องโหว่ใหม่ในเคอร์เนล Linux ชื่อรหัส Fragnesia ช่องโหว่ CVE-2026-46300 มีคะแนน CVSS 7.8 ระดับ High เป็นรูปแบบใหม่ของ Dirty Frag vulnerability ปัญหาอยู่ใน XFRM ESP-in-TCP subsystem ของเคอร์เนล ซึ่งจัดการ IPsec encapsulation ผ่าน TCP ผู้โจมตีที่มีสิทธิ์ local access สามารถใช้ช่องโหว่นี้ยกระดับสิทธิ์เป็น root ได้ผ่านการ corrupt page cache กระทบ Linux distributions หลักหลายตัว และ Kubernetes clusters จำนวนมากที่ทำงานบน Linux
รายละเอียดช่องโหว่
Fragnesia ใช้เทคนิค Page Cache Corruption เพื่อยกระดับสิทธิ์:
- ช่องโหว่อยู่ในส่วน XFRM ESP-in-TCP ที่จัดการ fragmentation ของ IPsec packets ที่ส่งผ่าน TCP
- การจัดการหน่วยความจำที่ผิดพลาดทำให้ผู้โจมตีสามารถ corrupt page cache ที่เก็บข้อมูลของไฟล์ระบบ
- เมื่อ page cache ถูก corrupt ผู้โจมตีสามารถเขียนทับข้อมูลในไฟล์ที่มีสิทธิ์สูง เช่น
/etc/passwdหรือ SUID binaries - ผลลัพธ์คือการได้สิทธิ์ root โดยไม่ต้องรู้ password
ระบบที่ได้รับผลกระทบ
ช่องโหว่กระทบ Linux distributions หลักที่ใช้เคอร์เนลรุ่นที่มีช่องโหว่:
- Ubuntu
- Debian
- Red Hat Enterprise Linux / CentOS
- SUSE Linux Enterprise
- Amazon Linux
- Cloud Linux workloads (EC2, GCE, Azure VMs)
- Kubernetes clusters ที่ทำงานบน Linux nodes
ข้อมูลสำคัญ: ณ เวลาที่เผยแพร่ ยังไม่พบการโจมตีจริงในธรรมชาติ (no in-the-wild exploitation observed) และแพตช์สำหรับเคอร์เนลพร้อมใช้แล้ว
ผลกระทบต่อไทย
โครงสร้างพื้นฐานดิจิทัลของประเทศไทยพึ่งพา Linux เซิร์ฟเวอร์เป็นหลัก ทั้งในศูนย์ข้อมูลภาครัฐ ระบบ cloud ของธนาคาร และ Kubernetes clusters ของบริษัท tech
แม้ช่องโหว่นี้ต้องการ local access (ไม่สามารถโจมตีจากระยะไกลได้โดยตรง) แต่ในสถานการณ์ที่ผู้โจมตีเจาะเข้าระบบได้แล้วผ่านช่องทางอื่น (เช่น web shell หรือ compromised container) ช่องโหว่นี้จะกลายเป็นเครื่องมือยกระดับสิทธิ์ที่ทรงพลัง
คำแนะนำ
- อัปเดตเคอร์เนล Linux เป็นเวอร์ชันที่แพตช์แล้วโดยเร็ว
- ตรวจสอบ Kubernetes nodes ว่าใช้เคอร์เนลรุ่นที่ได้รับผลกระทบหรือไม่
- ใช้ seccomp และ AppArmor/SELinux เพื่อจำกัดสิทธิ์ของ containers
- ติดตาม advisories จาก distribution ที่ใช้งาน (Ubuntu USN, RHSA, DSA)