Novoodhalená zraniteľnosť linuxového jadra s názvom pedit COW poskytuje útočníkom rýchlu cestu k root prístupu prostredníctvom tichého poškodenia cachovaných systémových binárnych súborov v pamäti, pričom súbory uložené na disku zostávajú nedotknuté.
Zraniteľnosť, vedená pod označením CVE-2026-46331, postihuje subsystém riadenia prevádzky (traffic control, tc) linuxového jadra a po zverejnení funkčného proof-of-concept exploitu krátko po jej odhalení sa rýchlo stala jednou z najsledovanejších zraniteľností typu lokálnej eskalácie oprávnení v roku 2026. Bezpečnostní výskumníci upozorňujú, že obzvlášť ohrozené sú systémy povoľujúce neprivilegované menné priestory používateľov (unprivileged user namespaces) v kombinácii so zraniteľným jadrovým modulom act_pedit.
Zraniteľnosť sa nachádza v subsystéme riadenia prevádzky
Na rozdiel od mnohých zraniteľností umožňujúcich eskaláciu oprávnení, ktoré spočívajú v prepisovaní binárnych súborov alebo zneužívaní race condition v používateľskom priestore, pedit COW zneužíva chybu poškodenia pamäte priamo v jadre na úpravu cachovanej verzie privilegovaných spustiteľných súborov v pamäti. Útočníci tak môžu spustiť upravenú verziu setuid-root binárky, pričom pôvodný súbor na disku zostáva nezmenený – bežné nástroje na kontrolu integrity súborov preto nezachytia žiadne známky neoprávneného zásahu, hoci systém je už kompromitovaný. Výskumníci túto techniku označujú za ďalší vývojový stupeň rastúcej skupiny zraniteľností spojených s poškodením stránkovacej cache (page-cache) v Linuxe.
Chyba sa nachádza v sieťovej časti linuxového jadra, konkrétne v rámci tc (traffic control), ktorý slúži na riadenie plánovania, tvarovania, filtrovania a úpravy paketov. Jedna z funkcií tc – pedit (packet editor) – umožňuje administrátorom prepisovať hlavičky paketov počas ich prenosu.
Jadrom problému je funkcia tcf_pedit_act(), zodpovedná za aplikovanie týchto úprav paketov. Linux za bežných okolností používa mechanizmus copy-on-write (COW), ktorý zabezpečí, že zmeny prebiehajú na súkromnej kópii pamäte, nie na zdieľaných pamäťových stránkach. Podľa oficiálnej opravy v jadre však zraniteľná implementácia počítala rozsah zapisovateľnej pamäte ešte predtým, než boli plne vyriešené runtime offsety spojené s typovanými kľúčmi úpravy paketov. Tento chybný výpočet umožnil, aby neskoršie zápisy presiahli súkromne skopírovanú oblasť a zasiahli zdieľanú pamäť stránkovacej cache namiesto izolovanej kópie. Vývojári jadra problém vyriešili presunutím operácie copy-on-write do slučky spracúvajúcej jednotlivé kľúče, kde sú už skutočné zápisové offsety známe, a doplnili aj dodatočnú kontrolu hraníc a pretečenia.
Exploit poškodzuje cachované binárky, nie súbory na disku
Výskumníci stojaci za verejným proof-of-concept exploitom preukázali, že zraniteľnosť možno využiť na otrávenie cachovanej kópie privilegovaných spustiteľných súborov, napríklad /bin/su. Namiesto úpravy binárky uloženej na trvalom úložisku exploit vloží škodlivý kód priamo do cachovanej kópie držanej jadrom v pamäti. Pri spustení programu Linux načíta práve túto upravenú cachovanú verziu, čím útočník získa root oprávnenia, zatiaľ čo pôvodná binárka naďalej pôsobí nezmenene.
Keďže obraz na disku zostáva nedotknutý, tradičné nástroje na overovanie integrity – vrátane kontroly kontrolných súčtov a monitorovania súborov – môžu kompromitáciu nezachytiť. Kým obrancovia stihnú preskúmať súborový systém, útočník už môže mať zabezpečený trvalý root shell. Výskumníci upozorňujú, že vyprázdnenie stránkovacej cache odstráni poškodený cachovaný obraz, no neodstráni už spustené privilegované procesy ani mechanizmy perzistencie, ktoré útočník mohol medzitým vytvoriť. Systémy, pri ktorých existuje podozrenie na zneužitie tejto zraniteľnosti, by sa preto mali považovať za úplne kompromitované a dôkladne preveriť.
Verejný exploit sa objavil do jedného dňa od zverejnenia
Vývojári jadra pôvodne odoslali opravu do mailing listu Linux networking (netdev) ako bežnú opravu poškodenia dát, nie ako bezpečnostný problém. Zraniteľnosť dostala identifikátor CVE-2026-46331 až po tom, čo bola záplata začlenená do jadra 16. júna 2026. Približne do dvadsiatich štyroch hodín výskumníci zverejnili plne funkčný proof-of-concept schopný demonštrovať lokálnu eskaláciu oprávnení na viacerých linuxových distribúciách.
Rýchly prechod od zverejnenia záplaty k zneužiteľnému exploitu poukazuje na opakujúci sa problém pre obrancov Linuxu: technicky podrobné upstream záplaty často odhalia zneužiteľnú zraniteľnosť skôr, než ju organizácie stihnú nasadiť alebo než ju začnú označovať skenery zraniteľností.
Predpoklady útoku obmedzujú vzdialené zneužitie, no riziko zostáva významné
Zraniteľnosť síce nemožno zneužiť vzdialene samostatne, no úspešný útok vyžaduje iba lokálne spustenie kódu za špecifických systémových konfigurácií. Výskumníci identifikovali dva hlavné predpoklady: dostupnosť alebo možnosť načítania jadrového modulu act_pedit a povolenie neprivilegovaných menných priestorov používateľov, ktoré útočníkovi umožnia získať oprávnenie CAP_NET_ADMIN v rámci menného priestoru potrebné na konfiguráciu zraniteľných akcií riadenia prevádzky. Tieto podmienky sú relatívne bežné na systémoch podporujúcich kontajnerizované workloady, vývojárske prostredia, rootless kontajnerové runtime a zdieľanú linuxovú infraštruktúru.
Výskumníci úspešne reprodukovali eskaláciu z lokálneho používateľa na root na systémoch Red Hat Enterprise Linux 10 a Debian 13 (Trixie) v predvolenej konfigurácii. Situácia pri Ubuntu je zložitejšia – Ubuntu 24.04 bolo možné zneužiť v rámci konfigurácií AppArmor, ktoré povoľujú menné priestory používateľov, zatiaľ čo predvolené obmedzenia AppArmor v Ubuntu 26.04 publikovanú cestu zneužitia blokujú, aj keď samotná zraniteľnosť jadra zostáva prítomná až do nasadenia opravy.
Dodávatelia vydávajú odporúčania a záplaty
Podľa Red Hatu bol problém klasifikovaný ako dôležitá (Important) bezpečnostná zraniteľnosť postihujúca podporované verzie RHEL 8, RHEL 9 a RHEL 10, pričom RHEL 7 medzi postihnutými produktmi uvedený nie je. Debian vydal bezpečnostné aktualizácie pre Debian 13 (Trixie), zatiaľ čo staršie vydania Debianu zostávali v čase zverejnenia zraniteľné a čakali na ďalšie aktualizácie. Bezpečnostné stránky Ubuntu podobne označili viaceré podporované vydania za postihnuté až do vydania aktualizovaných balíkov jadra. Zraniteľnosť bola tiež zaradená do databázy National Vulnerability Database po zverejnení na kernel.org.
Najnovší prírastok do rastúcej rodiny útokov na page-cache v Linuxe
Bezpečnostní výskumníci porovnávajú pedit COW s predchádzajúcimi zraniteľnosťami linuxového jadra, ktoré podobne zneužívali chyby v mechanizme copy-on-write alebo v správe stránkovacej cache – vrátane Dirty COW (CVE-2016-5195), Dirty Pipe a ďalších problémov spojených s poškodením page-cache. Tieto zraniteľnosti spája spoločná konštrukčná slabina: privilegované operácie jadra neúmyselne zapisovali do zdieľaných pamäťových stránok namiesto izolovaných kópií, čím vznikol priestor na lokálnu eskaláciu oprávnení. Hoci sa konkrétna implementácia líši, výskumníci tvrdia, že pedit COW dokazuje, že poškodenie page-cache naďalej predstavuje opakujúci sa útočný povrch v linuxovom jadre, najmä tam, kde sa výkonnostné optimalizácie stretávajú so zložitými mechanizmami správy pamäte.
Odporúčané opatrenia
Bezpečnostné tímy by mali uprednostniť nasadenie aktualizácií jadra od dodávateľa, po ktorom musí nasledovať reštart systému, aby sa zabezpečilo nahradenie zraniteľného kódu jadra. Tam, kde okamžité nasadenie záplaty nie je možné, výskumníci odporúčajú dočasne deaktivovať jadrový modul act_pedit na systémoch, ktoré nevyužívajú pravidlá úpravy paketov v rámci traffic control. Administrátori môžu tiež zvážiť zakázanie neprivilegovaných menných priestorov používateľov, hoci tento krok môže negatívne ovplyvniť rootless kontajnerové platformy, prostredia kontinuálnej integrácie, sandboxy prehliadačov a ďalšie moderné linuxové workloady.
Organizácie prevádzkujúce viacpoužívateľské servery, Kubernetes klastre, CI/CD runnery, akademické výpočtové prostredia, cloudovú infraštruktúru a ďalšie systémy, kde lokálnym používateľom nemožno plne dôverovať, by mali nápravu uprednostniť vzhľadom na schopnosť zraniteľnosti umožniť úplnú kompromitáciu systému zo štandardného používateľského účtu.
Vznik pedit COW opäť ukazuje, že na prvý pohľad rutinné záplaty údržby jadra môžu skrývať vysoko závažné bezpečnostné chyby. Keďže výskumníci naďalej analyzujú aktualizácie linuxového jadra s cieľom odhaliť zneužiteľné podmienky, obrancovia sú čoraz viac nabádaní sledovať okrem tradičných bezpečnostných odporúčaní aj samotný vývoj upstream kódu, aby znížili expozíciu ešte predtým, než sa verejne objavia funkčné exploity.
Viac informácii:
https://www.linkedin.com/pulse/new-critical-linux-vulnerability-enables-root-privilege-gh1ue
https://www.securityweek.com/dirtyclone-linux-kernel-vulnerability-leads-to-root-access