CVE-2026-23111: jednoznakowy błąd w jądrze Linuksa umożliwia eskalację uprawnień do roota - Security Bez Tabu

CVE-2026-23111: jednoznakowy błąd w jądrze Linuksa umożliwia eskalację uprawnień do roota

Cybersecurity news

Wprowadzenie do problemu / definicja

W ekosystemie Linuksa ujawniono groźną podatność lokalnej eskalacji uprawnień oznaczoną jako CVE-2026-23111. Luka dotyczy podsystemu nf_tables w jądrze systemu i pozwala nieuprzywilejowanemu użytkownikowi uzyskać uprawnienia roota, a w określonych scenariuszach również wydostać się z kontenera do systemu gospodarza.

Na szczególną uwagę zasługuje fakt, że źródłem problemu okazał się pojedynczy błąd logiczny w kodzie. To kolejny przykład, że nawet pozornie nieistotna pomyłka implementacyjna może prowadzić do krytycznych skutków bezpieczeństwa w komponentach działających na poziomie jądra.

W skrócie

CVE-2026-23111 to podatność typu use-after-free w mechanizmie nf_tables, wykorzystywanym do filtrowania ruchu sieciowego w Linuksie. Problem pojawia się w ścieżce obsługi wycofywania nieudanej transakcji i prowadzi do niespójności w zarządzaniu referencjami do łańcuchów reguł.

  • umożliwia lokalną eskalację uprawnień do roota,
  • może wspierać ucieczkę z kontenera do hosta,
  • dotyczy systemów korzystających z nf_tables,
  • jest szczególnie niebezpieczna tam, gdzie dostępne są nieuprzywilejowane przestrzenie nazw użytkownika,
  • doczekała się publicznych analiz technicznych i materiałów odtwarzających scenariusz exploitacji.

Kontekst / historia

Podatność została zidentyfikowana w podsystemie netfilter, a dokładniej w nowoczesnym frameworku nf_tables, który od lat zastępuje starsze mechanizmy konfiguracji zapory sieciowej w Linuksie. Problem został poprawiony upstreamowo na początku lutego 2026 roku, jednak dopiero późniejsze publikacje badaczy bezpieczeństwa pokazały, że jego praktyczna eksploatacja jest realna.

Analizy wykazały, że błąd można odtworzyć w szeroko używanych środowiskach, w tym na popularnych dystrybucjach serwerowych i desktopowych. To zwiększa wagę zagrożenia, ponieważ nie dotyczy ono niszowego komponentu ani egzotycznej konfiguracji, lecz elementu obecnego w wielu nowoczesnych wdrożeniach Linuksa.

Luka wpisuje się też w szerszy trend rosnącego znaczenia podatności lokalnej eskalacji uprawnień. W praktyce coraz częściej to właśnie błędy LPE stają się kluczowym etapem ataku po uzyskaniu początkowego, ograniczonego dostępu do systemu.

Analiza techniczna

Sedno problemu znajduje się w logice reaktywacji elementów catchall podczas abortowania nieudanej transakcji w nf_tables. W prawidłowym scenariuszu mechanizm powinien przywracać właściwy stan tylko dla tych elementów, które wcześniej zostały zdezaktywowane. W podatnej implementacji warunek logiczny został odwrócony, co doprowadziło do błędnego przebiegu operacji rollbacku.

Konsekwencją jest nieprawidłowe zarządzanie licznikiem referencji dla łańcucha reguł. Dla elementów werdyktu typu NFT_GOTO może to oznaczać brak poprawnego odtworzenia wartości chain->use. W efekcie kolejne operacje cofania zmian mogą stopniowo obniżać licznik referencji aż do momentu, gdy jądro zwolni obiekt, mimo że inne struktury nadal z niego korzystają.

Powstaje w ten sposób klasyczny stan use-after-free, który jest bardzo cenny z perspektywy exploitacji jądra. Tego rodzaju primitive może zostać użyty do uzyskania kontroli nad pamięcią jądra i dalszej eskalacji przywilejów.

  • umożliwia wywołanie use-after-free w kontrolowany sposób,
  • sprzyja wyciekom adresów jądra i sterty,
  • ułatwia obejście mechanizmów losowania przestrzeni adresowej,
  • otwiera drogę do przejęcia przepływu wykonania,
  • może zostać wykorzystana do uruchomienia łańcucha prowadzącego do nadania uprawnień roota.

Warunkiem praktycznego wykorzystania jest możliwość dotarcia przez lokalnego użytkownika do odpowiednich ścieżek kodu jądra. Duże znaczenie mają tutaj user namespaces, ponieważ mogą udostępniać wystarczające możliwości do operowania na mechanizmach nftables bez pełnych uprawnień administracyjnych.

Konsekwencje / ryzyko

Najważniejszą konsekwencją podatności jest możliwość lokalnej eskalacji uprawnień do poziomu root. To oznacza, że atakujący, który uzyska choćby ograniczony dostęp do hosta, może potencjalnie przejąć pełną kontrolę nad systemem.

W środowiskach kontenerowych ryzyko jest jeszcze większe. Jeśli podatna ścieżka jest osiągalna z poziomu kontenera, luka może posłużyć do ucieczki do systemu gospodarza. Taki scenariusz ma szczególne znaczenie dla platform CI/CD, hostów wielodostępnych, środowisk chmurowych oraz infrastruktury uruchamiającej wiele odseparowanych workloadów.

Podatność dobrze wpisuje się w scenariusze post-exploitation. Nie jest to wektor zdalny sam w sobie, ale może stanowić krytyczny drugi etap ataku po wcześniejszej kompromitacji aplikacji, konta użytkownika lub usługi działającej z ograniczonymi uprawnieniami.

Rekomendacje

Priorytetem powinno być niezwłoczne wdrożenie poprawek jądra dostarczonych przez producenta dystrybucji oraz wykonanie restartu systemu. Samo zainstalowanie zaktualizowanego pakietu bez ponownego uruchomienia hosta nie usuwa ryzyka, jeśli nadal działa podatna wersja kernela.

  • zweryfikować dostępność poprawki dla używanej gałęzi jądra,
  • zidentyfikować systemy z aktywnymi nf_tables i nieuprzywilejowanymi user namespaces,
  • ograniczyć możliwość tworzenia nieuprzywilejowanych przestrzeni nazw tam, gdzie nie są niezbędne,
  • przeprowadzić przegląd hostów kontenerowych oraz środowisk współdzielonych przez wielu użytkowników,
  • monitorować lokalne próby eskalacji uprawnień i nietypowe operacje związane z nftables,
  • uwzględnić podobne klasy błędów w politykach hardeningu systemów Linux.

Jako działanie tymczasowe warto ograniczyć lokalną powierzchnię ataku. Wyłączenie lub restrykcja nieuprzywilejowanych user namespaces może znacząco utrudnić wykorzystanie podatności, choć nie stanowi pełnego zamiennika dla aktualizacji.

Podsumowanie

CVE-2026-23111 pokazuje, że pojedynczy błąd logiczny w kodzie jądra może przełożyć się na pełną lokalną eskalację uprawnień. Luka w nf_tables prowadzi do use-after-free, które w sprzyjających warunkach może zostać wykorzystane do uzyskania uprawnień roota i potencjalnej ucieczki z kontenera.

Dla administratorów i zespołów bezpieczeństwa oznacza to konieczność szybkiego patchowania, restartu systemów oraz przeglądu konfiguracji zwiększających osiągalność podatnej ścieżki. W praktyce to właśnie szybkość reakcji i ograniczenie lokalnej powierzchni ataku będą kluczowe dla zmniejszenia ryzyka.

Źródła

  1. https://thehackernews.com/2026/06/one-character-linux-kernel-flaw-enables.html
  2. https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/
  3. https://fuzzinglabs.com/repro-cve-2026-23111/
  4. https://ubuntu.com/security/CVE-2026-23111