Linux Kernel: lokalna eskalacja uprawnień przez zatrucie page cache

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

W publicznym obiegu pojawił się opis nowego łańcucha lokalnej eskalacji uprawnień w jądrze Linux, oznaczonego jako CVE-2026-43284 oraz CVE-2026-43500. Scenariusz ataku dotyczy błędów logicznych i korupcji pamięci w ścieżkach związanych z page cache oraz wybranych mechanizmach sieciowych jądra. W praktyce zagrożenie może pozwalać nieuprzywilejowanemu użytkownikowi na modyfikowanie danych znajdujących się w pamięci podręcznej stron, co potencjalnie otwiera drogę do przejęcia uprawnień roota.

W skrócie

Opublikowany materiał opisuje łańcuch dwóch podatności, które po połączeniu mają prowadzić do lokalnej eskalacji uprawnień. Według autora exploit wykorzystuje możliwość zapisu do page cache oraz operacji na danych „w miejscu”, co pozwala ingerować w pamięciowe kopie plików wykonywalnych lub plików systemowych.

Atak ma charakter lokalny i wymaga wcześniejszego dostępu do hosta.
Celem mogą być binaria setuid oraz wrażliwe pliki systemowe.
Modyfikacja może dotyczyć pamięciowej reprezentacji pliku, a nie samego pliku na dysku.
Efektem może być pełne przejęcie systemu z uprawnieniami roota.

Kontekst / historia

Lokalna eskalacja uprawnień w Linuksie od lat koncentruje się wokół błędów w zarządzaniu pamięcią, synchronizacji dostępu do stron, kopiowaniu danych między przestrzenią użytkownika a jądrem oraz interakcjach między podsystemami sieciowymi i plikowymi. Szczególnie niebezpieczne są przypadki, w których atakujący nie musi bezpośrednio nadpisywać pliku na dysku, lecz może manipulować jego reprezentacją w page cache.

Tego typu model ataku był już wcześniej obserwowany w klasie błędów pozwalających obchodzić ochronę tylko do odczytu lub czasowo „zatruwać” wykonywane binaria. W omawianym przypadku autor publikacji przedstawił exploit jako połączenie dwóch odrębnych usterek: jednej związanej z implementacją ESP/XFRM, a drugiej z mechanizmem RxRPC. Z perspektywy obrony kluczowe jest to, że ryzyko nie wynika z pojedynczego błędu w jednej funkcji, lecz z możliwości zestawienia kilku słabości w jeden skuteczny łańcuch eksploatacyjny.

Analiza techniczna

Opisany łańcuch ataku opiera się na dwóch elementach. Pierwszy ma umożliwiać kontrolowany zapis niewielkich fragmentów danych do obszarów powiązanych z page cache. Drugi ma pozwalać na operacje prowadzące do modyfikacji danych już znajdujących się w pamięci stron, bez klasycznego zapisu do pliku w warstwie trwałej.

W rezultacie atakujący nie tyle zmienia sam plik na dysku, ile wpływa na jego pamięciową reprezentację wykorzystywaną przez system podczas odczytu lub wykonania. To rozróżnienie jest kluczowe, ponieważ jeśli binarium setuid zostanie „zatrute” w page cache, proces uruchamiający program może wykonać kod lub przetworzyć dane różniące się od zawartości zapisanej w systemie plików.

Taka technika jest szczególnie groźna, ponieważ może ograniczać liczbę klasycznych artefaktów forensic przy jednoczesnym zachowaniu wysokiej skuteczności ataku. Autor publikacji wskazał, że łańcuch może być użyty przeciwko plikom takim jak narzędzia administracyjne lub pliki w rodzaju /etc/passwd. W takim modelu celem może być zarówno uzyskanie natychmiastowej powłoki z uprawnieniami roota, jak i stworzenie warunków do trwałego utrzymania dostępu.

Na poziomie detekcji problem jest trudny, ponieważ skuteczny exploit lokalny nie musi powodować awarii jądra, paniki systemu ani oczywistych błędów aplikacyjnych. Jeśli modyfikacja odbywa się wyłącznie w pamięci operacyjnej, tradycyjne kontrole integralności plików mogą nie wykazać naruszenia, o ile nie są skorelowane z telemetrią jądra, eBPF, auditd lub monitoringiem zachowań procesów uprzywilejowanych.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją jest pełna lokalna eskalacja uprawnień do roota. W środowiskach wielodostępnych, CI/CD, na serwerach bastionowych, hostach deweloperskich oraz kontenerowych węzłach roboczych oznacza to, że pojedyncze uzyskanie konta niskiego poziomu może wystarczyć do przejęcia całego systemu.

Wysokie ryzyko dla hostów z wieloma użytkownikami interaktywnymi.
Zwiększona ekspozycja w środowiskach udostępniających SSH.
Istotne zagrożenie tam, gdzie można uruchamiać własny kod natywny.
Dodatkowe ryzyko w systemach z licznymi binariami setuid.
Większa podatność organizacji z wolnym cyklem patchowania kernela.

Dodatkowym problemem jest możliwość obejścia części mechanizmów ochronnych opartych na integralności plików na dysku. Jeżeli zmiana dotyczy głównie page cache, administrator może nie zauważyć oczywistej modyfikacji pliku wykonywalnego, mimo że uruchamiany obraz w pamięci zachowuje się inaczej niż wersja zapisana w systemie plików.

Rekomendacje

Najważniejszym działaniem pozostaje priorytetowa weryfikacja wersji jądra oraz wdrożenie poprawek dostarczonych przez producenta lub dystrybutora. W systemach produkcyjnych należy śledzić komunikaty bezpieczeństwa i planować aktualizację wraz z restartem do bezpiecznej wersji kernela.

Ograniczyć lokalny dostęp interaktywny wyłącznie do zaufanych użytkowników.
Zredukować liczbę binariów setuid do absolutnego minimum.
Monitorować uruchamianie nietypowych procesów kompilujących kod w katalogach użytkowników.
Włączyć i centralizować logowanie z auditd oraz telemetrykę wywołań uprzywilejowanych.
Stosować rozwiązania EDR/XDR z widocznością działań na poziomie jądra i pamięci.
Rozważyć ograniczenie nieużywanych modułów i funkcji sieciowych.
Segmentować środowiska deweloperskie, testowe i produkcyjne.

W środowiskach o podwyższonych wymaganiach bezpieczeństwa warto również testować wykrywalność anomalii związanych z page cache, walidować integralność binariów wykonywanych z pamięci oraz przeglądać polityki twardnienia systemu, takie jak SELinux, AppArmor i restrykcje mount options.

Podsumowanie

Nowo opisany łańcuch podatności w jądrze Linux pokazuje, że page cache pozostaje atrakcyjnym celem dla autorów exploitów lokalnej eskalacji uprawnień. Połączenie błędów w różnych podsystemach może umożliwić przejęcie kontroli nad hostem bez klasycznej modyfikacji plików na dysku.

Dla zespołów bezpieczeństwa oznacza to konieczność szybkiego patchowania, ograniczania lokalnego dostępu, redukcji powierzchni ataku oraz rozwijania monitoringu obejmującego nie tylko system plików, ale również zachowanie pamięci i procesów uprzywilejowanych.

Źródła

Exploit Database: Linux Kernel – Local Privilege Escalation — https://www.exploit-db.com/exploits/52585
NVD: CVE-2026-43284 — https://nvd.nist.gov/vuln/detail/CVE-2026-43284
NVD: CVE-2026-43500 — https://nvd.nist.gov/vuln/detail/CVE-2026-43500