Một mã khai thác (PoC) đã được công bố công khai cho CVE-2025-38352, một lỗ hổng CVE race condition nghiêm trọng ảnh hưởng đến việc triển khai bộ hẹn giờ CPU POSIX của Linux kernel.

Lỗ hổng này cho phép kẻ tấn công kích hoạt các điều kiện sử dụng bộ nhớ sau khi giải phóng (use-after-free – UAF) trong không gian kernel, tiềm ẩn nguy cơ leo thang đặc quyền (privilege escalation) lên cấp độ kernel và xâm nhập hệ thống toàn diện.

Sự xuất hiện của PoC công khai làm tăng đáng kể mức độ rủi ro và yêu cầu hành động khẩn cấp từ các quản trị viên hệ thống.

Phân tích Kỹ thuật CVE-2025-38352: Lỗ hổng Race Condition trong Linux Kernel

CVE-2025-38352 được phân loại là một race condition, một dạng lỗ hổng xảy ra khi tính đúng đắn của một chương trình phụ thuộc vào trình tự hoặc thời gian của các sự kiện không được kiểm soát.

Trong trường hợp này, lỗ hổng phát sinh trong hàm handle_posix_cpu_timers() của kernel, một thành phần quan trọng chịu trách nhiệm xử lý các tín hiệu hẹn giờ được tạo ra trong quá trình tick định kỳ của bộ lập lịch CPU.

Cụ thể, lỗ hổng này khai thác một khoảng thời gian hẹp (timing window) không an toàn.

Khoảng thời gian này tồn tại giữa lúc kernel thực hiện thu thập danh sách các bộ hẹn giờ đang kích hoạt và lúc chúng được xử lý một cách tuần tự.

Trong khoảng thời gian không ổn định này, kẻ tấn công có thể can thiệp để giải phóng cấu trúc bộ hẹn giờ trong khi kernel vẫn đang trong quá trình chuẩn bị hoặc thực hiện truy cập các cấu trúc dữ liệu đó.

Điều này dẫn đến tình trạng sử dụng vùng bộ nhớ đã được giải phóng, hay còn gọi là lỗi UAF.

Điều kiện Ảnh hưởng và Khai thác

Lỗ hổng CVE-2025-38352 chủ yếu ảnh hưởng đến các hệ thống Linux mà tùy chọn cấu hình CONFIG_POSIX_CPU_TIMERS_TASK_WORK bị tắt.

Tình trạng này đặc biệt phổ biến và liên quan mật thiết đến các thiết bị Android sử dụng kiến trúc 32-bit, nơi tùy chọn này thường không được kích hoạt theo mặc định.

Để khai thác thành công CVE-2025-38352, kẻ tấn công cần phải đáp ứng một số điều kiện tiên quyết nghiêm ngặt.

Thứ nhất, một tiến trình phải được đưa vào trạng thái “zombie” (tiến trình đã kết thúc nhưng mục nhập trong bảng tiến trình vẫn còn tồn tại vì tiến trình cha chưa thu hồi trạng thái của nó).

Thứ hai, việc phối hợp thời gian phải cực kỳ chính xác để kích hoạt race condition đúng vào thời điểm kernel đang xử lý bộ hẹn giờ.

Sự phức tạp trong điều kiện khai thác đòi hỏi kỹ thuật cao, nhưng không làm giảm mức độ nghiêm trọng của lỗ hổng khi PoC đã được công khai.

Chi tiết về Khai thác (PoC Exploit) CVE-2025-38352

Mã khai thác PoC, được công bố trên GitHub bởi nhà nghiên cứu bảo mật Faraz Sth, đã minh họa chi tiết các bước mà kẻ tấn công có thể thực hiện để kích hoạt lỗ hổng.

Quy trình khai thác bao gồm một chuỗi các hành động có tính toán:

• Khởi tạo Bộ hẹn giờ: Kẻ tấn công tạo ra một bộ hẹn giờ CPU POSIX được cấu hình để kích hoạt sau một khoảng thời gian CPU xác định.
• Chuyển Tiến trình sang Zombie: Buộc một luồng cụ thể vào trạng thái zombie trong khi các hoạt động xử lý quan trọng của kernel đang diễn ra.
• Thu hồi Tác vụ Zombie: Thực hiện hành động thu hồi (reap) tác vụ zombie trong khi quá trình xử lý bộ hẹn giờ của kernel đang trong giai đoạn nhạy cảm.
• Giải phóng Bộ nhớ sớm: Kẻ tấn công xóa bộ hẹn giờ thông qua lệnh gọi hệ thống timer_delete(). Thao tác này có mục đích gây ra việc giải phóng bộ nhớ sớm cho cấu trúc bộ hẹn giờ trước khi kernel hoàn tất việc sử dụng nó.
• Kích hoạt Use-After-Free: Khi kernel tiếp tục truy cập vào vùng bộ nhớ đã được giải phóng, điều kiện use-after-free sẽ được kích hoạt.

Khi quá trình khai thác UAF thành công, trên các hệ thống có bật KASAN (Kernel Address Sanitizer), các cảnh báo bộ vệ sinh bộ nhớ sẽ được tạo ra.

Các cảnh báo này đặc biệt chỉ ra các hoạt động ghi UAF (Use-After-Free write operations) xảy ra trong hàm posix_timer_queue_signal(), cung cấp bằng chứng rõ ràng về việc khai thác thành công.

Trên các hệ thống Linux không được cấu hình với KASAN, các cảnh báo tương tự về sự cố bộ nhớ sẽ hiển thị thông qua hàm send_sigqueue().

Theo các thông báo tư vấn bảo mật từ Faith2dxy, CVE-2025-38352 không chỉ là một lỗ hổng tiềm ẩn mà đã được ghi nhận là bị khai thác tích cực trong các cuộc tấn công mục tiêu hạn chế.

Mặc dù việc khai thác yêu cầu quyền truy cập hệ thống cục bộ (local system access) và khả năng thao tác thời gian chính xác ở cấp độ hệ thống, việc thành công có thể cấp cho kẻ tấn công các đặc quyền kernel cao nhất.

Điều này đồng nghĩa với khả năng chiếm quyền điều khiển hoàn toàn hệ thống bị ảnh hưởng.

Để tìm hiểu sâu hơn về phân tích kỹ thuật của lỗ hổng này, người đọc có thể tham khảo nguồn đáng tin cậy: Phân tích chuyên sâu về CVE-2025-38352.

Giải pháp và Khuyến nghị Bản vá bảo mật khẩn cấp

Để chống lại nguy cơ từ CVE-2025-38352, các bản vá bảo mật đã được phát hành và tích hợp vào các nhánh ổn định của Linux kernel.

Đây là giải pháp trực tiếp và hiệu quả nhất để loại bỏ lỗ hổng này.

Người dùng cuối và đặc biệt là các quản trị viên hệ thống được khuyến nghị mạnh mẽ rằng cần cập nhật ngay lập tức lên các phiên bản kernel đã được vá lỗi.

Bản sửa lỗi đã được thiết kế để ngăn chặn các tiến trình zombie thực thi mã xử lý bộ hẹn giờ, qua đó loại bỏ hoàn toàn khoảng thời gian race (race window) mà kẻ tấn công khai thác.

Việc áp dụng các bản cập nhật này sẽ đóng cánh cửa cho mọi nỗ lực khai thác lỗ hổng CVE này.

Các quản trị viên hệ thống cần ưu tiên cao việc triển khai các bản vá bảo mật này, đặc biệt đối với các thiết bị Android và các hệ thống Linux nhúng đang sử dụng các phiên bản kernel dễ bị tổn thương.

Sự xuất hiện công khai của mã khai thác PoC đã làm tăng tốc đáng kể dòng thời gian rủi ro (risk timeline) cho các hệ thống chưa được vá.

Mỗi phút trì hoãn trong việc vá lỗi đều đặt hệ thống vào tình trạng nguy hiểm gia tăng, tiềm ẩn nguy cơ bị xâm nhập mạng và chiếm quyền điều khiển hoàn toàn.

Các tổ chức và cá nhân cần chủ động kiểm tra phiên bản kernel đang chạy và áp dụng bản vá mới nhất để đảm bảo an toàn thông tin.