สรุปสั้น
ทีมวิจัย Zellic และ V12 เปิดเผย PoC exploit สำหรับช่องโหว่ใหม่ใน Linux Kernel ที่มีชื่อว่า DirtyDecrypt หรือ DirtyCBC ช่องโหว่ได้รับหมายเลข CVE-2026-31635 (CVSS 7.5) เกิดจาก missing Copy-on-Write (COW) guard ในโมดูล rxgk ของ Linux Kernel ผู้โจมตีที่มีสิทธิ์ผู้ใช้ทั่วไปสามารถยกระดับเป็น Root ได้ผ่านการเขียนทับ pagecache ช่องโหว่ส่งผลกระทบต่อ distribution ที่เปิดใช้ CONFIG_RXGK ได้แก่ Fedora, Arch Linux และ openSUSE Tumbleweed ในสภาพแวดล้อม container ช่องโหว่นี้อาจถูกใช้เพื่อหลุดจาก pod ไปยัง host node ได้ DirtyDecrypt เป็นช่องโหว่ตัวล่าสุดในตระกูล Copy Fail ที่รวมถึง Dirty Frag และ Fragnesia
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 19 พฤษภาคม พ.ศ. 2569 ว่า Luna Tong ผู้ร่วมก่อตั้ง Zellic ได้เปิดเผย Proof-of-Concept (PoC) exploit สำหรับช่องโหว่ใหม่ใน Linux Kernel ที่มีชื่อว่า DirtyDecrypt หรือ DirtyCBC ซึ่งสามารถยกระดับสิทธิ์จากผู้ใช้ทั่วไปเป็น Root ได้
ช่องโหว่นี้ถูกค้นพบและรายงานโดยทีมวิจัย Zellic และ V12 เมื่อวันที่ 9 พฤษภาคม 2569 แต่หลังจากรายงานไป ผู้ดูแล Linux Kernel แจ้งว่าเป็นช่องโหว่ที่ซ้ำกับบั๊กที่ได้รับการแก้ไขแล้วใน mainline ช่องโหว่ได้รับหมายเลข CVE-2026-31635 พร้อมคะแนน CVSS 7.5
DirtyDecrypt เป็นช่องโหว่ตัวล่าสุดในตระกูล “Copy Fail” ซึ่งรวมถึง Copy Fail ตัวแรก (CVE-2026-31431), Dirty Frag หรือ Copy Fail 2 (CVE-2026-43284 และ CVE-2026-43500) และ Fragnesia (CVE-2026-46300) ซึ่งทุกตัวสามารถให้สิทธิ์ Root บนระบบที่มีช่องโหว่ได้
ช่องโหว่นี้ส่งผลกระทบเฉพาะ distribution ที่เปิดใช้ CONFIG_RXGK เท่านั้น แต่ในสภาพแวดล้อม container worker node ที่รัน Linux เวอร์ชันที่มีช่องโหว่อาจเปิดทางให้หลุดจาก pod ไปยัง host ได้
รายละเอียดช่องโหว่
สาเหตุ: ช่องโหว่เกิดจาก “rxgk pagecache write due to missing COW (Copy-on-Write) guard in rxgk_decrypt_skb” กล่าวคือ เมื่อ Linux Kernel ทำการถอดรหัส (decrypt) ข้อมูลในโมดูล rxgk จะเขียนข้อมูลลง pagecache โดยตรงโดยไม่ได้ทำสำเนาก่อน (missing COW guard) ทำให้ผู้โจมตีสามารถเขียนทับข้อมูลใน pagecache ที่ควรเป็นแบบ read-only ได้
ประเภท: Local Privilege Escalation (LPE) — ผู้โจมตีต้องมีสิทธิ์เข้าถึงเครื่องเป้าหมายในระดับผู้ใช้ทั่วไปก่อน
Distribution ที่ได้รับผลกระทบ: เฉพาะ distribution ที่คอมไพล์ kernel ด้วย CONFIG_RXGK=y หรือ CONFIG_RXGK=m ได้แก่ Fedora, Arch Linux และ openSUSE Tumbleweed ส่วน Ubuntu, Debian และ RHEL ที่ใช้ค่าเริ่มต้นจะไม่ได้รับผลกระทบ
ความเสี่ยงใน Container: ในสภาพแวดล้อม Kubernetes หรือ Docker ที่ worker node รัน kernel ที่มีช่องโหว่ ผู้โจมตีที่อยู่ภายใน pod สามารถใช้ DirtyDecrypt เพื่อยกระดับสิทธิ์และหลุดจาก container ไปยัง host node ได้
ผลกระทบต่อไทย
ประเทศไทยมีการใช้งาน Linux Server อย่างแพร่หลายในองค์กรทุกขนาด โดยเฉพาะในบริการคลาวด์ ศูนย์ข้อมูล และสภาพแวดล้อม container ที่กำลังเติบโตอย่างรวดเร็ว
แม้ว่า DirtyDecrypt จะส่งผลกระทบเฉพาะ distribution ที่เปิดใช้ CONFIG_RXGK แต่การที่ช่องโหว่นี้เป็นส่วนหนึ่งของตระกูล Copy Fail ที่มีช่องโหว่หลายตัว แสดงให้เห็นว่า Linux Kernel ยังมีปัญหา COW guard ที่อาจถูกค้นพบเพิ่มเติมได้ องค์กรในไทยที่ใช้ Fedora Server หรือ Arch Linux ในระบบ production ควรตรวจสอบและแพตช์ทันที
สำหรับองค์กรที่ใช้ Kubernetes หรือ Docker ความเสี่ยงจากการ escape container ผ่านช่องโหว่นี้ถือเป็นเรื่องร้ายแรง เนื่องจากผู้โจมตีที่เจาะแอปพลิเคชันใน container ได้อาจยกระดับขึ้นมายึดทั้ง host node ได้
คำแนะนำ
- ตรวจสอบว่า Linux kernel ที่ใช้งานคอมไพล์ด้วย CONFIG_RXGK หรือไม่ โดยรันคำสั่ง
grep RXGK /boot/config-$(uname -r) - หากเปิดใช้ CONFIG_RXGK ให้อัปเดต kernel เป็นเวอร์ชันที่แก้ไขแล้วทันที
- ในสภาพแวดล้อม container ให้ตรวจสอบ kernel ของ host node ทุกตัว ไม่ใช่แค่ container image
- พิจารณาใช้ security module เช่น SELinux หรือ AppArmor เพื่อจำกัดความเสียหายจากการยกระดับสิทธิ์
- ติดตามช่องโหว่ในตระกูล Copy Fail อย่างต่อเนื่อง เนื่องจากอาจมีช่องโหว่ใหม่ในลักษณะเดียวกันถูกค้นพบเพิ่ม
