В Linux обнаружили уязвимость CVE-2026-23111 (7,8 балла по шкале CVSS), которая позволяла непривилегированному локальному пользователю повысить привилегии до уровня root. Проблема затрагивала подсистему nf_tables, отвечающую за фильтрацию сетевых пакетов и управление правилами файрвола. Эксплоиты для этой проблемы уже доступны в сети.

Как объясняют специалисты из Exodus Intelligence, к появлению этой проблемы типа use-after-free в коде ядра привел всего один символ: ошибочно проставленный знак «!». Исправление в апстриме тоже ограничилось буквально одной строкой кода.

Уязвимость была исправлена еще 5 февраля 2026 года, и в сети уже доступно сразу несколько PoC-эксплоитов. Так, в апреле специалисты FuzzingLabs независимо воспроизвели проблему и представили собственный эксплоит, а на этой неделе уже упомянутые выше исследователи Exodus Intelligence опубликовали подробный технический разбор уязвимости и собственную реализацию эксплоита.

Проблема была обнаружена в логике удаления verdict map — структур, которые используются в nf_tables для принятия решений о дальнейшей обработке пакетов. Из-за некорректной проверки атакующий мог многократно уменьшать счетчик ссылок на один из объектов ядра, что приводило к освобождению участка памяти, на которую продолжали ссылаться другие структуры ядра. В итоге это вело к классическому use-after-free и открывало путь к выполнению произвольного кода в контексте ядра.

По словам исследователей, эксплуатация бага требует локального доступа к системе, однако подобные уязвимости часто используют уже после первоначальной компрометации хоста.

Исследователь Exodus Intelligence Оливер Зибер (Oliver Sieber), обнаруживший уязвимость еще в начале 2025 года, продемонстрировал полноценную цепочку эксплуатации CVE-2026-23111. Сначала эксплоит провоцирует use-after-free, затем обходит встроенные механизмы защиты памяти ядра и в итоге добивается выполнения кода с правами root. Кроме того, отмечается, что атака позволяет осуществить побег из контейнера и получить доступ к хост-системе.

Специалисты Exodus Intelligence провели успешные тесты атак в Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS и Ubuntu 24.04 LTS. В свою очередь, специалисты FuzzingLabs смогли воспроизвести проблему в RHEL 10, но реализовали повышение привилегий другим способом.

Эксперты отмечают, что уязвимость особенно опасна в конфигурациях, где одновременно включены nf_tables и непривилегированные user namespaces. Такая комбинация встречается по умолчанию во многих десктопных системах и серверах. При этом подчеркивается, что удаленного вектора атаки у CVE-2026-23111 нет.

Патчи уже доступны для основных дистрибутивов Linux, включая Debian и Ubuntu. Исследователи подчеркивают, что признаков эксплуатации проблемы в реальных атаках пока не обнаружено, однако рабочий эксплоит находится в открытом доступе уже несколько месяцев. Поэтому администраторам рекомендуют как можно скорее установить обновления.