สรุปสั้น
บริษัท JFrog ได้เผยแพร่รายละเอียดทางเทคนิคและ proof of concept (PoC) ที่มุ่งเป้าช่องโหว่ Linux kernel ระดับร้ายแรงที่เพิ่งพบ ซึ่งเปิดทางให้ผู้ใช้ภายในเครื่องคนใดก็ได้สามารถยกระดับสิทธิ์ขึ้นเป็น root ช่องโหว่นี้ถูกติดตามในชื่อ CVE-2026-43503 (คะแนน CVSS 8.8) และเรียกกันว่า DirtyClone เป็นบั๊กยกระดับสิทธิ์ในเครื่อง (local privilege escalation) ที่ได้รับการแก้ไขไปเมื่อวันที่ 24 พฤษภาคม ไม่นานหลังจากถูกรายงานต่อผู้ดูแล Linux kernel JFrog อธิบายว่าช่องโหว่นี้เป็นตัวแปรของ DirtyFrag (หรือที่รู้จักในชื่อ Copy Fail 2) และ Fragnesia ซึ่งได้รับการแก้ไขไปช่วงกลางเดือนพฤษภาคม โดยทั้งหมดมีความคล้ายคลึงกับ Dirty Pipe ช่องโหว่ Linux kernel ที่เปิดเผยในปี 2022 ช่องโหว่ memory corruption เหล่านี้กระทบ networking stack หลักของเคอร์เนล มีรากมาจากวิธีที่ socket buffer (skb) อ้างอิงหน่วยความจำ page-cache ที่ใช้ร่วมกัน และสามารถถูกใช้เป็นอาวุธผ่านการแปลงข้อมูลแบบ in-place ในหลาย subsystem ความเสี่ยงนี้สูงเป็นพิเศษสำหรับสภาพแวดล้อมคลาวด์แบบ multi-tenant คลัสเตอร์ Kubernetes และเวิร์กโหลดที่รันในคอนเทนเนอร์
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 29 มิถุนายน 2569 ว่าบริษัท JFrog ได้เปิดเผยรายละเอียดและ PoC ของช่องโหว่ DirtyClone (CVE-2026-43503) ซึ่งแสดงให้เห็น “รูปแบบการใช้ประโยชน์ในวงกว้างที่กระทบเส้นทางการประมวลผล skb หลายเส้นทาง สะท้อนว่า attack primitive พื้นฐานไม่ได้จำกัดอยู่แค่ช่องโหว่จุดเดียว”
ในระดับภาพรวม ช่องโหว่เหล่านี้เกิดขึ้นเพราะเคอร์เนลไม่ได้แยก page cache ที่ใช้สำหรับไฟล์ executable และไฟล์ทั่วไป ออกจากข้อมูล packet ที่ประมวลผลผ่าน zero-copy path และการแปลงข้อมูลแบบ in-place เช่น การเข้ารหัส/ถอดรหัสที่เขียนกลับลงในบัฟเฟอร์เดียวกัน JFrog ระบุว่า “เมื่อทั้งสามบริบทนี้มาบรรจบกัน เคอร์เนลอาจแก้ไขหน่วยความจำที่ยังผูกอยู่กับไฟล์ในเชิงความหมาย นำไปสู่การเสียหายของข้อมูลที่อิงไฟล์ในที่เดิม”
ตามที่บริษัทอธิบาย แม้การแก้ไข DirtyFrag จะตั้งค่า metadata flag สำหรับ UDP packet ที่ถูก splice เพื่อป้องกันการแก้ไขหน้าที่อิงไฟล์โดยตรง แต่แพตช์ของ Fragnesia ทำให้ flag นั้นส่งต่อข้ามฟังก์ชันต่าง ๆ ได้ การอัปเดตไปยัง Linux kernel เวอร์ชัน v7.1-rc5 จะป้องกันการใช้ประโยชน์จาก DirtyClone ได้ โดยมีเพียงเคอร์เนลที่มีห่วงโซ่การแก้ไขครบทั้งตระกูล DirtyFrag เท่านั้นที่ได้รับการป้องกัน
รายละเอียดช่องโหว่
JFrog เตือนว่าระบบที่ไม่ได้แพตช์สำหรับช่องโหว่ดั้งเดิมเลย (CVE-2026-43284 และ CVE-2026-43500) ยังคงเปิดรับความเสี่ยงในวงกว้าง นอกจากนี้ เคอร์เนลสาย mainline, stable หรือ Long Term Support (LTS) ใด ๆ ที่ใช้มาตรการบรรเทาเบื้องต้นแล้วแต่ขาดแพตช์ตามมาในภายหลัง (CVE-2026-46300 และ CVE-2026-43503) ก็ยังคงเสี่ยงต่อการ bypass บางรูปแบบ
ดิสโทร Linux ยอดนิยมที่เปิดใช้ unprivileged user namespace อย่าง Debian, Fedora และ Ubuntu ล้วนได้รับผลกระทบ ผู้ใช้ภายในเครื่องคนใดก็ตามที่มีสิทธิ์ CAP_NET_ADMIN บนเซิร์ฟเวอร์หรืออุปกรณ์ที่รันเคอร์เนลเวอร์ชันที่มีช่องโหว่ จะสามารถยกระดับเป็น root ได้ ซึ่งสร้างความเสี่ยงสูงต่อสภาพแวดล้อมคลาวด์แบบ multi-tenant คลัสเตอร์ Kubernetes และเวิร์กโหลดในคอนเทนเนอร์ ตามที่บริษัทระบุ ทั้งนี้ DirtyClone เป็นช่องโหว่คนละตัวกับ pedit COW (CVE-2026-46331) ที่เคยรายงานก่อนหน้า แม้จะอยู่ในตระกูลปัญหา page-cache ที่เกี่ยวข้องกันก็ตาม
ผลกระทบต่อไทย
องค์กรไทยจำนวนมากใช้เซิร์ฟเวอร์ Linux เป็นโครงสร้างพื้นฐานหลัก ทั้งผู้ให้บริการคลาวด์ในประเทศ ธุรกิจที่รันเวิร์กโหลดบน Kubernetes และผู้ใช้ดิสโทรอย่าง Ubuntu และ Debian ช่องโหว่ DirtyClone อันตรายเป็นพิเศษสำหรับสภาพแวดล้อมแบบ multi-tenant และคอนเทนเนอร์ เพราะผู้ใช้ที่มีสิทธิ์จำกัดในคอนเทนเนอร์หรือบนเซิร์ฟเวอร์ร่วม อาจยกระดับเป็น root และหลุดออกจากขอบเขตที่ตั้งใจไว้ ผู้ให้บริการ cloud hosting และองค์กรที่เปิดให้ผู้ใช้หลายรายเข้าถึงระบบเดียวกันในไทยจึงควรเร่งตรวจสอบเวอร์ชันเคอร์เนลและแพตช์โดยด่วน โดยเฉพาะเมื่อมี PoC ที่ใช้งานได้จริงเผยแพร่ออกมาแล้ว ซึ่งเพิ่มโอกาสที่ผู้โจมตีจะนำไปใช้จริงในระยะอันใกล้
คำแนะนำ
ผู้ดูแลระบบควรอัปเดต Linux kernel เป็นเวอร์ชัน v7.1-rc5 หรือใหม่กว่า หรือเวอร์ชันที่ดิสโทรของตนได้ backport ห่วงโซ่การแก้ไขครบทั้งตระกูล DirtyFrag (รวม CVE-2026-43284, CVE-2026-43500, CVE-2026-46300 และ CVE-2026-43503) ตรวจสอบว่าเคอร์เนลที่ใช้มีแพตช์ตามมาครบถ้วน ไม่ใช่แค่มาตรการบรรเทาเบื้องต้น สำหรับระบบที่ยังแพตช์ไม่ได้ทันที ควรพิจารณาปิด unprivileged user namespace และจำกัดสิทธิ์ CAP_NET_ADMIN เฝ้าระวังกิจกรรมยกระดับสิทธิ์ที่ผิดปกติในสภาพแวดล้อม multi-tenant และคอนเทนเนอร์ และทบทวนการแยกขอบเขต (isolation) ของเวิร์กโหลดที่รันร่วมกันบนโฮสต์เดียวกัน
