สรุปสั้น

มีการเปิดเผยช่องโหว่ Linux kernel ใหม่ที่ชื่อ Bad Epoll (CVE-2026-46242) ซึ่งเปิดทางให้ผู้ใช้ทั่วไปที่ไม่มีสิทธิ์เข้าถึงพิเศษใดๆ สามารถเข้าควบคุมเครื่องอย่างสมบูรณ์ในฐานะ root ได้ ช่องโหว่นี้กระทบทั้งเดสก์ท็อป Linux เซิร์ฟเวอร์ และ Android โดยขณะนี้มีการออกแพตช์แก้ไขแล้ว จุดที่น่าสนใจเป็นพิเศษคือ Bad Epoll อยู่ในโค้ด kernel ส่วนเดียวกันกับที่ Mythos โมเดล AI ที่ทรงพลังที่สุดของบริษัท Anthropic เพิ่งค้นพบบั๊กอีกตัวหนึ่ง กล่าวคือ AI จับบั๊กหนึ่งได้แต่พลาดอีกตัว ส่วน นาย Jaeyoung Chung นักวิจัยด้านความปลอดภัยเป็นผู้ค้นพบและสร้าง exploit ที่ใช้งานได้จริง

Bad Epoll เป็นบั๊กประเภท use-after-free ที่โค้ด kernel สองส่วนพยายามเคลียร์ออบเจ็กต์ภายในตัวเดียวกันในเวลาเดียวกัน ส่วนหนึ่งปล่อยหน่วยความจำในขณะที่อีกส่วนยังเขียนข้อมูลลงไป การชนกันชั่วครู่นี้เปิดทางให้ผู้โจมตีทำให้หน่วยความจำ kernel เสียหาย แล้วไต่จากบัญชีธรรมดาขึ้นสู่ root ได้ อุปสรรคคือเรื่องจังหวะเวลา เพราะหน้าต่างที่โค้ดสองเส้นทางชนกันกว้างเพียงราว 6 คำสั่งเครื่องเท่านั้น การสุ่มลองจึงแทบไม่มีทางตรงจังหวะ แต่ exploit ของ นาย Chung ขยายหน้าต่างนั้นและลองซ้ำโดยไม่ทำให้ระบบล่ม จนเข้าถึง root ได้ราว 99% บนระบบที่ทดสอบ ที่ทำให้อันตรายยิ่งขึ้นคือมันสามารถถูกกระตุ้นจากภายใน sandbox ของ renderer ใน Chrome และเข้าถึง Android ได้ ซึ่งบั๊กยกสิทธิ์ Linux ส่วนใหญ่ทำไม่ได้

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 4 กรกฎาคม พ.ศ. 2569 ว่า มีการเปิดเผยช่องโหว่ Linux kernel ตัวใหม่ชื่อ Bad Epoll (CVE-2026-46242) โดย Epoll เป็นฟีเจอร์มาตรฐานของ Linux ที่ให้โปรแกรมเฝ้าดูไฟล์หรือการเชื่อมต่อเครือข่ายจำนวนมากพร้อมกัน ทั้งเซิร์ฟเวอร์ บริการเครือข่าย และเว็บเบราว์เซอร์ต่างพึ่งพามัน ทำให้ไม่สามารถปิดการทำงานได้ง่ายๆ

หัวใจของ Bad Epoll คือบั๊ก use-after-free ที่เกิดจากการที่ kernel สองส่วนพยายามเคลียร์ออบเจ็กต์ภายในเดียวกันพร้อมกัน จุดตายอยู่ที่จังหวะเวลา เพราะหน้าต่างที่ทั้งสองเส้นทางชนกันกว้างเพียงราว 6 คำสั่งเครื่อง นาย Chung ได้ส่งช่องโหว่นี้เข้าโปรแกรม kernelCTF ของ Google ในฐานะ zero-day พร้อมเผยแพร่รายละเอียดเชิงเทคนิคทั้งหมดในเอกสารสาธารณะ ทั้งนี้ยังไม่มีสัญญาณว่าถูกใช้โจมตีจริง โดย ณ ขณะรายงานยังไม่ปรากฏในรายการ Known Exploited Vulnerabilities ของ CISA และโค้ดที่ใช้งานได้มีเพียง proof of concept จาก kernelCTF ส่วนเวอร์ชัน exploit สำหรับ Android ยังอยู่ระหว่างการพัฒนา

บั๊กทั้งสองตัวสืบย้อนไปยังการเปลี่ยนแปลงโค้ด epoll ครั้งเดียวเมื่อปี พ.ศ. 2566 นาย Chung ระบุว่า Mythos พบบั๊กตัวแรกจากสองตัวนี้ ซึ่งปัจจุบันติดตามในชื่อ CVE-2026-43074 โดยแพตช์ออกมาช่วงต้นปี พ.ศ. 2569 ทั้งนี้ Anthropic เคยระบุแยกต่างหากว่า Mythos พบบั๊กยกสิทธิ์ใน Linux kernel แม้จะไม่ได้เชื่อมโยงงานนั้นกับ Bad Epoll ต่อสาธารณะ การพบบั๊กตัวแรกถือเป็นผลงานที่แท้จริง เพราะบั๊กประเภท race condition ขึ้นชื่อว่าตรวจจับได้ยากมาก

รายละเอียดช่องโหว่

คำถามที่น่าสนใจคือเหตุใด AI ตัวเดียวกันจึงพลาดบั๊กพี่น้อง นาย Chung เสนอเหตุผลที่น่าจะเป็นไปได้สองข้อ ข้อแรกคือหน้าต่างเวลาที่เล็กมากทำให้ลำดับเหตุการณ์ที่แน่นอนยากจะจินตนาการแม้จะจ้องดูโค้ด ข้อสองคือมีหลักฐานน้อยมากขณะ runtime เพราะเมื่อบั๊กตัวแรกถูกแพตช์แล้ว ข้อผิดพลาดของหน่วยความจำใน Bad Epoll มักไม่ทำให้ KASAN ซึ่งเป็นเครื่องมือตรวจจับบั๊กหลักของ kernel ทำงาน จึงไม่มีอะไรแจ้งเตือนว่ามีสิ่งผิดปกติ เนื่องจาก Epoll ไม่สามารถปิดการทำงานได้ จึงไม่มีวิธีแก้ชั่วคราว ผู้ใช้ต้องใช้ upstream commit a6dc643c6931 หรือติดตั้ง backport จาก distribution เมื่อออกมา โดย kernel ที่สร้างบนเวอร์ชัน 6.4 ขึ้นไปได้รับผลกระทบเว้นแต่จะมีแพตช์แล้ว ส่วน kernel เก่าที่อิงเวอร์ชัน 6.1 รวมถึงโทรศัพท์ Android บางรุ่นอย่าง Pixel 8 ไม่ได้รับผลกระทบเพราะบั๊กเข้ามาในเวอร์ชัน 6.4

Bad Epoll เข้าร่วมตระกูลบั๊ก kernel ที่ใช้เจาะ root บน Android ตามหลัง Bad Binder, Bad IO_uring และ Bad Spin นอกจากนี้ยังปรากฏในช่วงที่มีช่องโหว่ยกสิทธิ์ Linux ออกมาถี่ แม้ส่วนใหญ่จะทำงานต่างกัน เช่น Copy Fail (CVE-2026-31431) ที่ออกมาเดือนเมษายนและอยู่ในรายการ KEV ของ CISA แล้ว รวมถึงเชน Dirty Frag, Fragnesia, DirtyClone และ pedit COW ซึ่งเป็นบั๊กแบบ deterministic ที่ไม่ต้องชนะ race จึงรันได้เชื่อถือได้กว่า ต่างจาก Bad Epoll ที่เป็นชนิดเก่าและยากกว่าคือต้องชนะ race เหมือน Dirty Cow เมื่อปี พ.ศ. 2559 อีกทั้งยังมี proof-of-concept ปรากฏสำหรับ CVE-2026-31694 ช่องโหว่แยกในโค้ด FUSE filesystem ที่พบโดยบริษัทวิจัย Bynario ด้วย

ผลกระทบต่อไทย

องค์กรไทยที่ใช้เซิร์ฟเวอร์ Linux ในศูนย์ข้อมูลหรือบนคลาวด์มีความเสี่ยงโดยตรง เพราะ Bad Epoll เปิดทางให้ผู้ใช้ที่มีสิทธิ์ต่ำ เช่น บัญชีที่ถูกเจาะผ่านช่องทางอื่น ยกระดับเป็น root และควบคุมเครื่องทั้งหมดได้ ที่น่ากังวลเป็นพิเศษคือความสามารถกระตุ้นจากภายใน sandbox ของ Chrome และการเข้าถึง Android ซึ่งหมายความว่าอุปกรณ์มือถือ Android ของผู้ใช้ไทยจำนวนมากที่รัน kernel เวอร์ชัน 6.4 ขึ้นไปก็อยู่ในข่ายเสี่ยง แม้ปัจจุบันยังไม่มีรายงานการโจมตีจริงและมีเพียง PoC จาก kernelCTF แต่เมื่อรายละเอียดเชิงเทคนิคเปิดเผยต่อสาธารณะแล้ว ผู้ดูแลระบบไทยควรเร่งติดตั้งแพตช์และติดตามการอัปเดตจาก distribution และผู้ผลิตอุปกรณ์ Android อย่างใกล้ชิด

คำแนะนำ

ผู้ดูแลระบบควรเร่งติดตั้ง upstream commit a6dc643c6931 หรือ backport จาก distribution ที่ใช้อยู่ทันทีที่มีให้ เนื่องจากไม่มีวิธีแก้ชั่วคราวเพราะ Epoll ปิดการทำงานไม่ได้ ควรตรวจสอบว่า kernel ที่ใช้อยู่สร้างบนเวอร์ชัน 6.4 ขึ้นไปหรือไม่ หากใช่และยังไม่มีแพตช์ก็ถือว่าอยู่ในความเสี่ยง สำหรับอุปกรณ์ Android ควรติดตามและติดตั้งอัปเดตความปลอดภัยจากผู้ผลิตทันทีที่ backport ออกมา ในเชิงป้องกันเชิงลึก ควรจำกัดสิทธิ์ผู้ใช้และแยกบริการที่เปิดสู่อินเทอร์เน็ตออกจากระบบสำคัญ เพื่อลดโอกาสที่ผู้โจมตีจะมีจุดยืนสำหรับยกระดับสิทธิ์ พร้อมทั้งเฝ้าระวังการอัปเดตรายการ Known Exploited Vulnerabilities ของ CISA เผื่อกรณีที่ช่องโหว่ถูกนำไปใช้โจมตีจริงในอนาคต

แหล่งอ้างอิง