GhostLock: a 15 éve rejtőző Linux hiba root jogosultságot ad

Kutatók felfedték a GhostLock nevű sebezhetőséget (CVE-2026-43499), amely egy 15 éve a Linux kernel kódjában megbújó use-after-free hiba. Sikeres kihasználás esetén bármely bejelentkezett felhasználónak teljes root hozzáférést biztosít egy nem patchelt operációs rendszeren. A hiba 2011 óta gyakorlatilag minden mainstream disztribúcióban jelen van, és semmilyen speciális jogosultságot vagy hálózati hozzáférést nem igényel, hétköznapi szálkezelési (threading) hívások is elegendők a kihasználásához.

A Linux kernel futex nevű zárolási mechanizmus működésében találtak egy ritka, de súlyos hibát: rossz időben lefutó tisztítási művelet miatt a rendszer már felszabadított memóriára hivatkozik tovább. Ez az úgynevezett use-after-free hiba lehetőséget adhat arra, hogy egy támadó a sérülékenységet kihasználva root jogosultságot szerezzen. A kutatók a hibát fordították teljes rendszerhozzáféréssé, és a tesztjükben mindössze öt másodperc alatt sikerült elérniük, hogy a kernel rootként futtassa a saját kódjukat. A sebezhetőséget a saját, mesterséges intelligenciával támogatott hibakereső eszközükkel azonosították, és ezért 92 337 dollár jutalmat kaptak a Google kernelCTF programjában.

A pontszám azért “csak” magas és nem kritikus, mert a támadónak a kihasználás előtt be kell tudnia jelentkezni az operációs rendszerbe, tehát ez nem távoli, hanem helyi jogosultság-kiterjesztési (privilege escalation) hiba. Ez azonban megosztott, multi-tenant rendszereken, felhő szervereken, konténereken és CI futtatókon rendkívül veszélyes, mivel ott a támadóknak gyakran könnyen sikerül helyi belépési pontot szerezniük.

A hibát 2011 óta tartalmazza a kernel, de csak 2026 áprilisában javították (commit 3bfdc63936dd), és a disztribúciók jelenleg fokozatosan terjesztik a javítást. Fontos, hogy a legfrissebb kernelt telepítsük, ne csak az első javított buildet, mert az eredeti javítás egy külön összeomlási hibát (CVE-2026-53166) okozott, amelynek javítása még július elején is finomodott az upstream ágban.

Teljes körű workaround nincs, mivel a hibát kiváltó műveletek minden helyi folyamat számára rutinszerűek. Mitigációként a RANDOMIZE_KSTACK_OFFSET és STATIC_USERMODE_HELPER build-opciók megnehezítik a kihasználást, de nem jelentenek végleges megoldást.

Június elején a CVE-2026-23111 (nf_tables use-after-free) is hasonló módon adott root hozzáférést és konténer-kitörést, mindössze egy karakternyi hibás feltétel miatt. Májusban pedig a CVE-2026-31431 (Copy Fail) kilenc éves hibáját már aktívan kihasználták, amelyet a CISA is felvett az ismerten kihasznált sebezhetőségek (KEV) listájára is.

(thehackernews.com)