สรุปสั้น

Qualys เปิดเผยช่องโหว่ร้ายแรงใน Linux kernel หมายเลข CVE-2026-46333 (CVSS 5.5) เมื่อวันที่ 21 พฤษภาคม 2569 ซึ่งเป็นปัญหาประเภท improper privilege management ที่ซ่อนอยู่มานานถึง 9 ปีตั้งแต่เดือนพฤศจิกายน 2559 ช่องโหว่อยู่ในฟังก์ชัน __ptrace_may_access() ทำให้ผู้ใช้ทั่วไปที่ไม่มีสิทธิ์พิเศษสามารถอ่านไฟล์ /etc/shadow และ SSH private key รวมถึงรันคำสั่งในฐานะ root ได้บน Debian, Fedora และ Ubuntu มี PoC exploit เผยแพร่แล้ว 4 รูปแบบ ผู้ดูแลระบบควรอัปเดต kernel ทันทีหรือใช้ workaround ชั่วคราว

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 21 พฤษภาคม พ.ศ. 2569 ว่า Qualys Threat Research Unit ค้นพบช่องโหว่ CVE-2026-46333 ใน Linux kernel ที่มีรหัสชื่อว่า ssh-keysign-pwn ช่องโหว่นี้ถูกนำเข้า kernel ตั้งแต่เดือนพฤศจิกายน 2559 แต่ไม่เคยถูกค้นพบมาก่อน

Saeed Abbasi ผู้จัดการอาวุโสของ Qualys Threat Research Unit อธิบายว่า primitive ของช่องโหว่นี้มีความน่าเชื่อถือสูง สามารถเปลี่ยน local shell ธรรมดาให้กลายเป็นเส้นทางสู่ root หรือเข้าถึง credential สำคัญได้ PoC exploit ถูกเผยแพร่บน GitHub หลังจากมี public kernel commit ออกมา ช่องโหว่นี้เป็นช่องโหว่ Linux kernel ล่าสุดต่อจาก Copy Fail, Dirty Frag และ Fragnesia ในช่วงเดือนที่ผ่านมา

รายละเอียดช่องโหว่

CVE-2026-46333 เป็นปัญหา improper privilege management ในฟังก์ชัน __ptrace_may_access() ของ Linux kernel ผู้โจมตีที่เป็น local user ทั่วไปสามารถใช้ช่องโหว่นี้โจมตีได้ 4 รูปแบบ ได้แก่ ผ่าน chage, ssh-keysign, pkexec และ accounts-daemon ผลกระทบหลักคือสามารถอ่านไฟล์ /etc/shadow ที่เก็บ password hash ของทุก user อ่าน SSH host private key ใน /etc/ssh/*_key และรันคำสั่งใดก็ได้ในฐานะ root ช่องโหว่กระทบ default installation ของ Debian, Fedora และ Ubuntu

ผลกระทบต่อไทย

Linux เป็นระบบปฏิบัติการหลักสำหรับเซิร์ฟเวอร์ในประเทศไทย ทั้งภาครัฐและเอกชน โดยเฉพาะ Debian และ Ubuntu ที่ใช้กันแพร่หลายในการให้บริการเว็บ ฐานข้อมูล และ cloud infrastructure ช่องโหว่นี้แม้จะเป็น local privilege escalation ที่ต้องมี local access ก่อน แต่เมื่อรวมกับช่องโหว่อื่นที่ให้ initial access ได้ (เช่น web shell หรือ compromised account) จะกลายเป็นเส้นทางสู่ root ที่อันตราย ยิ่งเซิร์ฟเวอร์ที่มีผู้ใช้หลายคน เช่น shared hosting หรือ university server จะมีความเสี่ยงสูงมาก

คำแนะนำ

  • อัปเดต Linux kernel เป็นเวอร์ชันล่าสุดที่แก้ไข CVE-2026-46333 แล้วทันที โดยเฉพาะ Debian, Ubuntu และ Fedora
  • หากยังอัปเดตไม่ได้ ให้ตั้ง workaround ชั่วคราว: sysctl -w kernel.yama.ptrace_scope=2
  • ตรวจสอบว่าเซิร์ฟเวอร์ที่เคยมี untrusted local user เข้าถึงได้ในช่วงที่มีช่องโหว่ ให้ถือว่า SSH host key และ credential อาจถูกเปิดเผยแล้ว
  • rotate SSH host key และทบทวน credential ทั้งหมดที่อยู่ใน memory ของ set-uid process
  • จำกัดการเข้าถึง local shell ให้เฉพาะผู้ที่จำเป็นเท่านั้น

แหล่งอ้างอิง