Спустя всего пару недель после истории с CopyFail исследователи раскрыли еще одну опасную уязвимость повышения привилегий — Dirty Frag. Эксплоит позволяет локальному пользователю получить root-права практически во всех популярных дистрибутивах Linux, при этом атака не связана с состоянием гонки и не приводит к сбоям ядра. Хуже того, PoC-код уже опубликован, а Microsoft зафиксировала признаки эксплуатации уязвимости в реальных атаках.
Dirty Frag обнаружил ИБ-исследователь Хенву Ким (Hyunwoo Kim). По его словам, проблема представляет собой цепочку, объединяющую два бага ядра Linux — CVE-2026-43284 и CVE-2026-43500. Они затрагивают компоненты xfrm-ESP (IPsec) и RxRPC и связаны с ошибками обработки page cache в памяти. Эксплоит позволяет изменять содержимое защищенных файлов напрямую в RAM, даже если у атакующего есть только доступ на чтение.
Исследователи сравнивают Dirty Frag с уязвимостями Dirty Pipe и CopyFail, так как все три бага относятся к одному семейству проблем. Однако Dirty Frag атакует другой элемент внутренних структур ядра — frag в struct sk_buff.
Как объясняют аналитики из компании Automox, атака использует системный вызов splice(), чтобы внедрить на страницу кеша ссылку на файл вроде /etc/passwd или /usr/bin/su. Затем криптографические операции ядра модифицируют эти данные прямо в памяти. В результате содержимое файлов меняется для всех последующих процессов, хотя злоумышленник вообще не имел прав на запись.
По словам Кима, каждая из двух уязвимостей по отдельности работает нестабильно. Например, AppArmor в некоторых конфигурациях Ubuntu мешает эксплуатации через ESP, а многие дистрибутивы по умолчанию не используют rxrpc.ko. Однако вместе баги обеспечивают надежное получение root-доступа практически во всех протестированных системах.
Вскоре после публикации информации об уязвимости неизвестный исследователь раскрыл детали потенциальной атаки раньше выхода патчей. В итоге Ким обнародовал полную документацию и PoC-эксплоит для проблемы.
На момент раскрытия информации о баге патчи еще не успели попасть в большинство дистрибутивов, то есть уязвимость являлась полноценным 0-day. Позже исправления начали выпускать разработчики Debian, Fedora, AlmaLinux, Ubuntu, Red Hat и Amazon Linux.
Специалисты Microsoft сообщают, что Dirty Frag уже могла использоваться в реальных атаках. По данным компании, злоумышленники эксплуатировали уязвимость после получения первоначального доступа через SSH, веб-шеллы, побеги из контейнеров или скомпрометированные сервисные аккаунты. После повышения привилегий хакеры модифицировали файлы GLPI, изучали конфигурацию системы и взаимодействовали с PHP-сессиями.
При этом исследователи из компании Wiz считают, что hardened-контейнеры и Kubernetes с настройками безопасности по умолчанию частично снижают риск эксплуатации. Однако для виртуальных машин и менее изолированных окружений угроза остается серьезной.
Пока патчи доступны не везде, исследователи рекомендуют временно отключить уязвимые модули ядра: sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
Однако подчеркивается, что это действие нарушит работу IPsec VPN и файловых систем AFS.
