Skip to content
RiverCore
Bad Epoll 0-Day: Уразливість Ядра Linux та Android через Перегонову Умову
Linux kernel exploitCVE-2026-46242Android securitybad epoll root exploit Chrome rendererepoll kernel race privilege escalation

Bad Epoll 0-Day: Уразливість Ядра Linux та Android через Перегонову Умову

5 лип 20267 хв. читанняMarina Koval

Будь-який керівник платформи, який обслуговує парк Linux-хостів або публікує Android-застосунок із WebView, має сприймати цьоготижневе розкриття як питання бюджету, а не як звичайний квиток на патч. Щойно опублікована вразливість ядра під назвою Bad Epoll надає непривілейованому локальному користувачеві надійний шлях до root на серверах, десктопах та Android-пристроях, і вона доступна зсередини пісочниці Chrome renderer. Така комбінація змінює модель загрози для будь-кого, чия продуктова поверхня стикається з браузером або Android-ендпоінтом.

Технічна сторона питання цікава. Але бізнесова сторона — хто несе витрати на реагування — це те, що варто обговорювати всередині компанії цього місяця.

Ключові деталі

Вразливість, що відстежується як CVE-2026-46242, — це use-after-free у ep_remove(), шляху завершення роботи всередині підсистеми epoll ядра Linux. Як повідомляє CyberSecurityNews, недолік очищає file->f_ep під file->f_lock, але продовжує використовувати об'єкт файлу всередині критичної секції під час hlist_del_rcu() та spin_unlock(). Паралельний виклик __fput() може виявити транзитний NULL, пропустити eventpoll_release_file() і перейти безпосередньо до f_op->release, звільняючи struct eventpoll, який ще використовується.

Оскільки struct file є SLAB_TYPESAFE_BY_RCU, звільнений слот може бути перевикористаний через alloc_empty_file(). Це дає зловмиснику можливість ініціювати kmem_cache_free() проти неправильного slab-кешу. Дослідник Чун Чже'ен подав цей баг як zero-day до програми kernelCTF від Google, яка платить $71 337 або більше за робочі експлойти ядра Linux.

Сам експлойт є справжнім витвором майстерності. Він використовує чотири об'єкти epoll, організовані в дві пари; закриття однієї пари запускає перегонову умову, тоді як інша стає жертвою. Це перетворює 8-байтовий UAF-запис на UAF файлового об'єкта через cross-cache атаку. Далі зловмисник отримує довільне читання пам'яті ядра через /proc/self/fdinfo та перехоплює потік керування за допомогою ROP-ланцюга для отримання root shell. Вікно перегонової умови складає приблизно шість інструкцій. Експлойт Чуна розширює його, виконує чисті повтори без паніки ядра та демонструє близько 99% надійності на протестованих цілях.

Жодного обхідного рішення не існує. Epoll є основним компонентом ядра, який неможливо вимкнути або вивантажити — саме тому баг надає root як на Android, так і на серверах. Адміністратори або застосовують оновлення upstream, або чекають, поки їхній дистрибутив виконає бекпорт.

Чому це важливо для команд безпеки

Важливий архітектурний факт полягає в тому, що Bad Epoll доступний зсередини пісочниці Chrome renderer. Поєднайте його з вразливістю renderer — і ви отримаєте повне виконання коду ядра із ворожої веб-сторінки. Для будь-якої команди, що постачає Android-продукт, десктопний застосунок на Electron або поверхню на основі Chromium, це різниця між «вразливістю ядра, яку варто патчити» та «remote-to-root примітивом, який потрібно моделювати».

Наслідки для найму є незручними. Більшість служб безпеки у фінтех-компаніях серії B та середніх iGaming-операторів не мають у штаті інженера, обізнаного з ядром. Вони мають generalist-спеціалістів з appsec та контракт із SOC. Коли з'являється такий баг, питання про те, хто читає патч, перевіряє бекпорт і підписує мобільне складання, лягає на того, хто підніме руку. Це прогалина в найманні, а не в інструментах, і жоден EDR-вендор не закриє її за вас.

Регуляторні ризики варіюються залежно від галузі, але вони реальні. Ліцензовані iGaming-оператори, що запускають Android-застосунки для гравців на регульованих ринках, мають таймери повідомлення про порушення, які починають відлічувати з моменту виявлення, а не з моменту експлуатації. Фінтех-компанії з позицією SOC 2 або ISO 27001 матимуть задокументувати часову шкалу реагування. Криптокастодіальні компанії, що використовують захищені Linux-хости, отримують найгірше з обох світів: вразливість ядра на стороні сервера плюс мобільні поверхні підпису на стороні клієнта.

CFO будь-якої споживчої фінтех-компанії має запитати у свого VP Engineering цього тижня, який відсоток бази Android-інсталяцій знаходиться на гілці ядра, яка фактично отримає своєчасний бекпорт, і скільки коштує примусове оновлення застосунку до циклу OEM. Ця цифра виявиться гіршою, ніж хто-небудь очікує. Затримка патчів ядра Android завжди була неприємною частиною моделі безпеки мобільних пристроїв, і саме цей баг може залишатися непатченим на пристроях середнього класу від шести до дев'яти місяців.

Вплив на галузь

У розкритті є ще одна, тихіша історія, яка, на мою думку, більше впливає на розподіл бюджетів безпеки протягом наступних дванадцяти місяців. Один коміт ядра 2023 року вніс дві окремі перегонові умови в той самий шлях коду epoll із 2 500 рядків. Перша, CVE-2026-43074, була знайдена моделлю Mythos від Anthropic. Mythos пропустив Bad Epoll — важчу для виявлення другу перегонову умову — імовірно тому, що вікно таймінгу вузьке, і баг рідко спрацьовує на KASAN, основному детекторі помилок пам'яті ядра.

Читайте уважно. Аудит ядра за допомогою AI вже достатньо хороший, щоб знаходити реальні перегонові умови у виробничому коді ядра. Але він ще недостатньо хороший, щоб знаходити ті, що не залишають ознак під час виконання. Це має прямі наслідки для дискусії «будувати чи купувати», яка відбувається в кожній платформній організації прямо зараз. Якщо ви CTO, якому пропонують AI-продукт для аудиту безпеки, чесне позиціонування полягає в тому, що він виявить клас багів, які інструментарій вже підсвічує, і пропустить клас, що вимагає терплячої людської інтуїції щодо slab-кешів та RCU-семантики. Ціну встановлюйте відповідно.

Для вендорського ринку Bad Epoll нагадує, що програми баунті в стилі kernelCTF — це недооцінене страхування. Google заплатив мінімум $71 337 за баг, який у поєднанні з renderer-експлойтом продавався б у кілька разів дорожче на наступальному ринку. Будь-який платформний бізнес, чий продукт залежить від цілісності Linux або Android, має запитати, чи відповідають їхні власні ліміти баунті реальній вартості альтернативи. Більшість — ні.

Дистрибутивні вендори також виглядають повільними в цій ситуації. Перша спроба патчу мейнтейнерів не вирішила проблему повністю, і правильне виправлення з'явилося майже через два місяці після початкового розкриття. Це реальне вікно, яке ваш план реагування на інциденти має витримати, а не теоретичний інтервал zero-day.

За чим слідкувати

Три сигнали варто відстежувати протягом наступного кварталу. По-перше, наскільки швидко основні Android OEM-виробники включать бекпорт у свої щомісячні бюлетені безпеки. Історично це великий розкид, і цей баг покаже, які вендори дійсно інвестували в конвеєри патчів ядра, а які досі передають завдання партнерам із кремнію та сподіваються на краще.

По-друге, слідкуйте за неминучим публічним релізом експлойта. Звіт Чуна є детальним, перегонова умова добре охарактеризована, а надійність у 99% означає, що хтось портує його в модуль Metasploit до кінця Q3. Саме тоді починається опортуністичне використання, і саме тоді цей баг потрапляє до каталогу CISA KEV із жорстким федеральним дедлайном.

По-третє, слідкуйте за тим, що Anthropic та його конкуренти опублікують далі про AI-асистований аудит ядра. Якщо у відповідь на те, що Mythos пропустив Bad Epoll, з'явиться модель другого покоління, спеціально налаштована на вузьковіконні перегонові умови та баги, невидимі для KASAN, економіка аудиту ядра зміниться швидко. Якщо ні — очікуйте, що ринок людського таланту у сфері безпеки ядра залишиться жорстко обмеженим, а компенсація за цей набір навичок зросте ще на один рівень.

Команди, що оцінюють витрати на безпеку у 2026 році, мають запитати себе, чи може їхній конвеєр мобільних оновлень насправді доставити патч ядра кінцевим користувачам у рамках вікна, обіцяного регуляторам, — і якщо ні, то чого вартує закрити цю прогалину до появи наступного Bad Epoll.

Ключові висновки

  • Bad Epoll (CVE-2026-46242) — це use-after-free у завершенні роботи Linux epoll, що забезпечує root із надійністю близько 99% для непривілейованого локального користувача, без жодного обхідного рішення, окрім upstream-патча.
  • Баг доступний із пісочниці Chrome renderer, перетворюючи будь-який renderer RCE на повний ланцюг виконання коду ядра як на Linux, так і на Android.
  • Ризик для Android є структурним: epoll не можна вимкнути, і затримка патчів OEM залишить велику частину бази інсталяцій вразливою протягом місяців.
  • AI-асистований аудит ядра знайшов споріднений баг (CVE-2026-43074), але пропустив Bad Epoll — корисний орієнтир для тих, хто включає AI-інструменти безпеки у бюджет на 2026 рік.
  • Виплата Google у розмірі $71 337 за kernelCTF — це нижня межа, а не стеля; внутрішні програми баунті, ліміти яких нижчі за цю суму, недострахують саме від такого класу вразливостей.

Часті запитання

П: Які системи уражені вразливістю Bad Epoll?

Bad Epoll (CVE-2026-46242) впливає на сервери Linux, десктопи Linux та Android-пристрої, оскільки epoll є основним компонентом ядра, який неможливо вимкнути або вивантажити. Будь-яка система, що використовує вразливу гілку ядра, залишається під загрозою до застосування upstream-патча або дистрибутивного бекпорта.

П: Чи можна експлуатувати Bad Epoll віддалено?

Самостійно баг вимагає локального непривілейованого доступу. Однак він доступний зсередини пісочниці Chrome renderer, що означає: поєднання його з експлойтом браузерного renderer дає повне віддалене виконання коду ядра на уражених Linux та Android цілях.

П: Чому AI Mythos від Anthropic знайшов одну перегонову умову epoll, але пропустив Bad Epoll?

Обидві перегонові умови були внесені одним комітом 2023 року в шлях коду з 2 500 рядків. Mythos знайшов першу (CVE-2026-43074), але пропустив Bad Epoll, імовірно тому, що вікно таймінгу складає лише близько шести інструкцій, а баг рідко спрацьовує на KASAN, залишаючи мало ознак під час виконання для автоматизованого аналізу.

MK
Marina Koval
RiverCore Analyst · Dublin, Ireland
ПОДІЛИТИСЯ
// СХОЖІ СТАТТІ
ГоловнаРішенняПроєктиПро насКонтакт
Новини06
Дублін, Ірландія · ЄСGMT+1
LinkedIn
🇺🇦UK