Lỗ hổng Pack2TheRoot - Thách thức leo thang đặc quyền trên hệ điều hành Linux

Sự phụ thuộc ngày càng lớn vào các hệ điều hành mã nguồn mở đã đưa Linux trở thành nền tảng cốt lõi của máy chủ, điện toán đám mây và hạ tầng doanh nghiệp hiện đại. Tuy nhiên, các thành phần quản trị backend đôi khi trở thành “điểm mù” về bảo mật. Gần đây, giới nghiên cứu công bố lỗ hổng Pack2TheRoot, một lỗi logic trong thành phần PackageKit đã tồn tại gần 12 năm. Bằng cách khai thác sai sót trong cơ chế ủy quyền, người dùng cục bộ có thể leo thang đặc quyền lên mức cao nhất (root), gây rủi ro nghiêm trọng cho tính toàn vẹn của hệ thống.

Tổng quan về Pack2TheRoot và PackageKit

Trong hệ sinh thái Linux, tính bảo mật thường được củng cố bởi sự rà soát chặt chẽ của cộng đồng đối với nhân hệ điều hành (Kernel). Tuy nhiên, bề mặt tấn công thực tế lại mở rộng sang các dịch vụ nền chạy với đặc quyền cao nhằm hỗ trợ trải nghiệm người dùng.

Pack2TheRoot là một minh chứng điển hình cho xu hướng này. Thay vì phá vỡ các lớp bảo vệ phức tạp của kernel, lỗ hổng này khai thác logic phân quyền trong PackageKit, một lớp trừu tượng hóa việc quản lý gói phần mềm. Việc lỗi bảo mật này tồn tại âm thầm hơn một thập kỷ đặt ra yêu cầu cấp thiết về việc tái đánh giá các thành phần di sản (legacy components) trong các bản phân phối Linux hiện đại.

PackageKit là một hệ thống dịch vụ D-Bus được thiết kế để giúp người dùng phổ thông cài đặt và cập nhật phần mềm thông qua các giao diện đồ họa (như GNOME Software) mà không cần quyền quản trị trực tiếp, nó hoạt động như một thực thể trung gian điều phối các trình quản lý gói lõi như APT, DNF hoặc RPM.

Lỗ hổng Pack2TheRoot phát sinh từ sai sót trong việc xử lý các yêu cầu từ người dùng không đặc quyền. Về bản chất, PackageKit chạy dưới quyền root để thực thi các lệnh hệ thống, nếu cơ chế xác thực nội bộ bị lỗi, nó có thể bị “đánh lừa” để thực hiện các tác vụ nhạy cảm theo yêu cầu của một thực thể có quyền hạn thấp.

Cơ chế kỹ thuật và Vector khai thác

Lỗ hổng Pack2TheRoot (CVE-2026-41651) đạt mức độ nghiêm trọng cao với điểm số CVSS 8.8. Khác với các kỹ thuật tấn công truyền thống nhắm vào lỗi bộ nhớ như tràn bộ đệm, Pack2TheRoot tập trung hoàn toàn vào sai sót logic trong khâu ủy quyền của dịch vụ nền PackageKit. Điều này biến nó trở thành một lỗ hổng đặc biệt nguy hiểm, vì nó cho phép các quy trình quản trị hợp lệ bị lợi dụng để phục vụ mục đích xấu mà không kích hoạt các cơ chế phòng vệ mã độc thông thường.

Về bản chất, lỗi này nằm trong daemon của PackageKit, một lớp trừu tượng hóa việc quản lý gói phần mềm đa phân phối. Các nhà nghiên cứu từ Red Team của Deutsche Telekom (với sự hỗ trợ từ mô hình AI Claude Opus trong quá trình phân tích) đã phát hiện ra rằng trong nhiều cấu hình hệ thống mặc định, PackageKit cho phép thực thi các lệnh nhạy cảm như pkcon install mà không yêu cầu mật khẩu quản trị hoặc xác thực người dùng. Chính sự lỏng lẻo trong việc thực thi chính sách phân quyền này đã tạo ra “cánh cửa mở” cho các cuộc tấn công leo thang đặc quyền cục bộ.

Quá trình tấn công được triển khai qua một chuỗi hành vi logic nhằm biến quyền truy cập hạn chế thành quyền kiểm soát tối cao, như sau:

Truy cập cục bộ và nhận diện mục tiêu: Tác nhân đe dọa bắt đầu bằng việc chiếm quyền truy cập vào một tài khoản người dùng không có đặc quyền trên hệ thống Linux mục tiêu. Sau đó, kẻ tấn công kiểm tra sự hiện diện của daemon PackageKit (phiên bản từ 1.0.2 đến 1.3.4).

Thao túng quy trình cài đặt không xác thực: Lợi dụng lỗ hổng CVE-2026-41651, kẻ tấn công thực thi lệnh cài đặt gói phần mềm thông qua giao diện dòng lệnh của PackageKit. Do lỗi ủy quyền, hệ thống sẽ bỏ qua bước yêu cầu mật khẩu, cho phép cài đặt các gói phần mềm tùy ý hoặc các gói được chuẩn bị sẵn từ các nguồn không tin cậy.

Kích hoạt mã độc qua script hậu cài đặt: Kẻ tấn công yêu cầu cài đặt một gói phần mềm chứa các script hậu cài đặt (post-install scripts) độc hại. Khi quá trình cài đặt diễn ra, daemon PackageKit, vốn luôn vận hành dưới quyền hạn tối cao sẽ trực tiếp kích thực thi các script này.

Thực thi đặc quyền và duy trì sự hiện diện: Ở giai đoạn cuối, các script này sẽ chạy với quyền root, cho phép kẻ tấn công thực hiện các hành động can thiệp sâu như: thiết lập backdoor, sửa đổi tệp tin cấu hình hệ thống nhạy cảm, hoặc tạo thêm tài khoản quản trị mới. Điều này dẫn đến việc chiếm toàn quyền điều khiển hệ thống Linux bị ảnh hưởng chỉ trong vài giây.

Minh họa khai thác thành công lỗ hổng Pack2TheRoot và leo thang đặc quyền lên quyền root trên hệ thống Linux

Phạm vi ảnh hưởng và Phân tích rủi ro hệ thống

Sự tồn tại âm thầm của lỗ hổng Pack2TheRoot trong suốt 12 năm, kể từ khi phiên bản PackageKit 1.0.2 được phát hành vào năm 2014 đã tạo ra một bề mặt tấn công khổng lồ đối với hệ sinh thái Linux toàn cầu. Việc lỗi bảo mật này không bị phát hiện trong một thập kỷ cho thấy lỗ hổng logic trong các dịch vụ quản trị có thể “sống sót” qua nhiều chu kỳ cập nhật hệ thống, gây ra rủi ro tiềm tàng cực lớn cho cả người dùng cá nhân lẫn hạ tầng doanh nghiệp.

Dựa trên kết quả thực nghiệm từ đội ngũ nghiên cứu của Deutsche Telekom, lỗ hổng ảnh hưởng đến tất cả các phiên bản PackageKit trong dải từ 1.0.2 đến 1.3.4. Khả năng khai thác đã được xác nhận trực tiếp trên cấu hình mặc định sử dụng trình quản lý gói apt và dnf của các phân phối phổ biến sau:

- Ubuntu: Bao gồm các phiên bản Desktop 18.04 (đã hết vòng đời hỗ trợ - EOL), các bản LTS hiện hành như 24.04.4 và phiên bản thử nghiệm 26.04 (LTS beta). Đối với môi trường máy chủ, Ubuntu Server từ 22.04 đến 24.04 đều nằm trong diện nguy hiểm.

- Debian: Phiên bản Desktop Trixie 13.4.

- Fedora & Rocky Linux: Khai thác thành công trên Fedora 43 (cả bản Desktop và Server) cùng Rocky Linux 10.1.

Do PackageKit là lớp trừu tượng hóa phân phối chung, có thể nhận định một cách khoa học rằng tất cả các bản phân phối Linux cài đặt và kích hoạt PackageKit mặc định đều có nguy cơ bị tấn công.

Một khía cạnh an ninh nghiêm trọng khác là mối liên hệ giữa PackageKit và dự án Cockpit - một giao diện quản trị máy chủ từ xa phổ biến. Vì PackageKit thường được cài đặt như một phụ thuộc tùy chọn (optional dependency) của Cockpit để hỗ trợ cập nhật phần mềm qua giao diện web, rất nhiều máy chủ doanh nghiệp, bao gồm cả Red Hat Enterprise Linux (RHEL), có khả năng đang vận hành trong trạng thái không an toàn nếu tính năng này được kích hoạt.

Một số khuyến nghị

Lỗ hổng đã được giải quyết triệt để trong bản phát hành PackageKit 1.3.5. Các bản vá bảo mật (backports) cho từng phân phối cụ thể đã bắt đầu được triển khai từ 12:00 CEST ngày 22/04/2026. Trong bối cảnh mức độ nghiêm trọng đạt điểm CVSS 8.8, các quản trị viên hệ thống được khuyến nghị thực hiện ngay các bước sau:

1. Kiểm tra phiên bản PackageKit đang vận hành thông qua lệnh hệ thống.

2. Cập nhật ngay lập tức lên phiên bản 1.3.5 hoặc áp dụng các bản vá từ kho lưu trữ chính thức của phân phối đang sử dụng.

3. Đối với các hệ thống chưa thể cập nhật ngay, cần xem xét vô hiệu hóa daemon PackageKit để tạm thời thu hẹp bề mặt tấn công..

Kết luận

Pack2TheRoot là một lời nhắc nhở quan trọng rằng an ninh của hệ điều hành Linux phụ thuộc chặt chẽ vào sự an toàn của toàn bộ chuỗi cung ứng phần mềm và các thành phần phụ trợ. việc một lỗ hổng leo thang đặc quyền nghiêm trọng tồn tại hơn một thập kỷ là minh chứng rõ nét cho độ phức tạp trong công tác quản lý đặc quyền hệ thống. Trong kỷ nguyên an ninh mạng hiện đại, bên cạnh việc vá lỗi kịp thời, triển khai các biện pháp tối ưu hóa bảo mật hệ thống (System Hardening) thông qua việc tinh giản các dịch vụ không cần thiết chính là yếu tố sống còn. Những chiến lược phòng thủ chủ động này sẽ giúp bảo vệ vững chắc hạ tầng số trước các lỗ hổng logic tiềm ẩn và các mối đe dọa leo thang đặc quyền trong tương lai.

TÀI LIỆU THAM KHẢO

1. https://securityaffairs.com/191231/security/12-year-old-pack2theroot-bug-lets-linux-users-gain-root-privileges.html

2. https://www.securityweek.com/easily-exploitable-pack2theroot-linux-vulnerability-leads-to-root-access/

3. https://github.security.telekom.com/2026/04/pack2theroot-linux-local-privilege-escalation.html