สหรัฐฯ ประกาศเตือนช่องโหว่ Linux "Copy Fail" ถูกใช้โจมตีจริง เสี่ยงโดนแฮกยึดเครื่องระดับ Root

Published:


ล่าสุด CISA หรือหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ ได้สั่งเพิ่มช่องโหว่รหัส CVE-2026-31431 (หรือที่นักวิจัยตั้งชื่อเท่ๆ ว่า "Copy Fail") ลงในรายการฐานข้อมูลช่องโหว่กำลังถูกใช้โจมตีจริง (KEV) หลังจากพบหลักฐานว่าแฮกเกอร์เริ่มลงมือเจาะระบบผ่านรูรั่วนี้แล้วครับ

"Copy Fail" คืออะไร? ทำไมถึงน่ากลัว?

ช่องโหว่นี้มีความรุนแรงอยู่ที่ระดับ 7.8 (High) มันคือช่องโหว่ประเภท Local Privilege Escalation (LPE) พูดง่ายๆ ก็คือ "การยกระดับสิทธิ์จากยูสเซอร์ธรรมดาไปเป็นราชา (Root)" นั่นเองครับ

จุดที่น่าสนใจและน่ากังวล

  • ซ่อนตัวมานาน: มันแฝงอยู่ใน Kernel ของ Linux มานานถึง 9 ปี โดยเกิดจากความผิดพลาดของชุดคำสั่งด้านการเข้ารหัส (Cryptographic template) ที่เขียนผิดมาตั้งแต่ปี 2011 และ 2017
  • เจาะง่ายจนน่าตกใจ: นักวิจัยบอกว่าการโจมตีนี้ทำได้ง่ายมาก (Trivial) แค่รันโค้ด Python สั้นๆ เพียง 732 ไบต์ ก็สามารถยึดสิทธิ์ Root ได้ทันที ไม่ต้องอาศัยเทคนิคซับซ้อนเหมือนช่องโหว่อื่นๆ
  • ตรวจจับยาก: เนื่องจากมันใช้คำสั่งระบบ (System calls) ปกติในการทำงาน ทำให้ระบบป้องกันแยกแยะไม่ออกว่านี่คือการใช้งานทั่วไปหรือการโจมตี
  • กระทบวงกว้าง: กระทบ Linux เกือบทุกค่าย (Distributions) ที่ออกมาตั้งแต่ปี 2017 รวมถึงระบบ Cloud, Docker และ Kubernetes ซึ่งเสี่ยงต่อการถูกเจาะทะลุ "กำแพงคอมเทนเนอร์" ออกมายึดเครื่องหลักได้เลย

แฮกเกอร์โจมตีอย่างไร?

Microsoft แจ้งว่าเริ่มเห็นสัญญาณการทดสอบโจมตีในวงกว้างแล้ว โดยขั้นตอนมีดังนี้
  1. สแกนหาเป้าหมาย: หาเครื่อง Linux หรือ Container ที่ยังไม่ได้อัปเดต
  2. ส่งโค้ดเข้าไปรัน: แฮกเกอร์อาจจะเข้ามาทาง SSH หรือผ่านช่องทางอื่นๆ ในฐานะผู้ใช้ธรรดา
  3. รัน Script "Copy Fail": ทำการเขียนทับข้อมูลในหน่วยความจำ (Page Cache) เพื่อเปลี่ยนคำสั่งของโปรแกรมระบบให้กลายเป็นโค้ดอันตราย
  4. ยึดเครื่อง: กลายเป็น User ID 0 หรือ Root ซึ่งมีอำนาจสูงสุดในเครื่องทันที

วิธีป้องกันและแก้ไข

ขณะนี้มีการออก Patch แก้ไขมาเรียบร้อยแล้วใน Linux Kernel เวอร์ชันดังนี้

  • 6.18.22
  • 6.19.22
  • 7.0

ผมขอแนะนำดังนี้

  1. อัปเดตด่วน: ตรวจสอบเวอร์ชัน Kernel ของท่านและอัปเดตเป็นเวอร์ชันล่าสุดทันที
  2. จำกัดสิทธิ์: หากยังอัปเดตไม่ได้ ให้จำกัดการเข้าถึง SSH และตรวจสอบกระบวนการทำงานใน Container ให้เข้มงวดขึ้น
  3. ติดตามข่าว: ทาง CISA กำหนดให้หน่วยงานรัฐของสหรัฐฯ ต้องแก้ไขให้เสร็จภายในวันที่ 15 พฤษภาคม 2026 นี้ครับ
อย่าชะล่าใจนะครับ เพราะช่องโหว่ที่เจาะง่ายและตรวจจับยากแบบนี้ คือ เป้าหมายลักของเหล่ามิจฉาชีพไซเบอร์เลยล่ะครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์