Linuxová komunita čelí novému kritická zranitelnost eskalace lokálních oprávnění přezdívaný Dirty Frag, byl objeven pouhý týden po rozhodnutí Kopírování selhaloTento nový bezpečnostní problém, podrobně vysvětlený na GitHubuTo umožňuje jakémukoli lokálnímu uživateli bez oprávnění získat root přístup na většině současných linuxových distribucí a co je prozatím nejvíce znepokojivé, je to, že Neexistuje žádná oficiální záplata ani přiřazený identifikátor CVE..
Dirty Frag byl odhalen před plánovaným termínem po porušení bezpečnostního embargaTřetí strana, která s výzkumem nesouvisí, zveřejnila některé informace, což výzkumníka přimělo zveřejnit technické podrobnosti a důkaz konceptu ještě předtím, než správci jádra a distribuce měli připravené záplaty. To staví systémové administrátory do prekérní situace: spolehlivě zneužitelná zranitelnost, pro kterou dosud neexistuje definitivní řešení.
Co je Dirty Frag a proč vyvolává tolik obav?
Dirty Frag byl prezentován jako přímý nástupce Copy Fail a patří do stejné rodiny zranitelností jako Dirty Pipe. Všechny tyto zranitelnosti sdílejí společný základní princip: zneužívat chyby ve správě mezipaměti stránek jádraTedy v kopii souborů v paměti, kterou Linux uchovává za účelem zlepšení výkonu.
V praxi útok toho dosahuje samotné jádro přepisuje obsah v mezipaměti stránek souboru, aniž by útočník měl oprávnění k zápisu do tohoto souboru. Toto řízené přepsání se stává libovolným zápisovým primitivem, které, pokud je správně zneužito, umožňuje eskalaci oprávnění k rootnutí jediným spuštěním exploitu.
Podle jihokorejského výzkumníka Hyunwoo Kima (známého jako @v4bel), Dirty Frag není jednoduchá jednorázová chyba, ale třída logické zranitelnosti který rozšiřuje stejnou rodinu, do které patří Dirty Pipe a Copy Fail. Nezávisí na čase ani na podmínkách závodění, což znamená, že exploit je deterministický, v případě selhání nezpůsobuje pád jádra a má... velmi vysoká úspěšnost v zranitelných systémech.
Dvě zranitelnosti propojené dohromady pro získání root přístupu
Jednou z klíčových vlastností Dirty Frag je, že není založena na jediném neúspěchu, ale spíše Řetězecuje dvě různé zranitelnosti linuxového jádra dosáhnout téměř univerzálního útoku na moderní systémy:
- Zápis do mezipaměti stránek xfrm-ESP – Zranitelnost v síťovém stacku IPsec/ESP (funkce esp_input()), zavedená v Leden 2017 commit (cac2661c53f3). Umožňuje 4bajtové úložiště přímo v mezipaměti stránky, na pozici a s hodnotou kontrolovanou útočníkem.
- Zápis do mezipaměti stránek RxRPC – Chyba v subsystému RxRPC/rxkad (funkce rxkad_verify_packet_1()), trvající od Červen 2023Provádí 8bajtový zápis do mezipaměti stránek, využívá proces dešifrování, bez nutnosti oprávnění k vytváření jmenných prostorů, a klíč lze... hrubá síla kompletně z uživatelského prostoru.
První zranitelnost se nachází v subsystému IPsec (xfrm) a je zneužita, když... nelineární socket buffer se splývavými stránkami (stránky v mezipaměti stránek spojené s operacemi jako například splice(2) o sendfile(2)) se vyhýbá ověření kopie zápisem (skb_cow_data()V tomto scénáři rychlá dešifrovací cesta ESP zapisuje přímo na tyto stránky, čímž otevírá dveře k úpravě dat, na která odkazuje neprivilegovaný proces.
V případě RxRPC je dešifrovací cesta aplikuje dešifrování na místě na stránky v mezipaměti stránek Tyto bloky jsou také „ukotveny“ uživatelem, ale bez nutnosti zvláštních oprávnění, jako je vytváření jmenných prostorů. Útočník připraví v uživatelském prostoru zašifrovaný blok tak, že po dešifrování jádrem... výsledkem je přesně požadovaný text v paměti.
Proč Dirty Frag ovlivňuje téměř všechny distribuce
Ani jedna z těchto zranitelností, posuzovaná samostatně, nepokrývá všechny scénáře. Zneužití xfrm-ESP vyžaduje, aby k přístupu měl neoprávněný uživatel. vytvořit uživatelské jmenné prostoryToto je něco, co AppArmor v některých konfiguracích Ubuntu blokuje. Naproti tomu exploit RxRPC jmenné prostory nepotřebuje, ale modul ano. Soubor rxrpc.ko není ve výchozím nastavení zahrnut. ve většině firemních distribucí, jako jsou některé verze RHEL.
Klíč k Dirty Frag je v využít obě cesty využití komplementárním způsobemV systémech, kde jsou povoleny jmenné prostory uživatelů, se jako první spustí varianta ESP; v prostředích, jako je mnoho instalací Ubuntu, kde je vytváření jmenných prostorů omezené, ale modul rxrpc je načten ve výchozím nastavení, se uplatní varianta RxRPC. „Slepá místa“ jedné útočné trasy jsou pokryta druhoudosažení prakticky univerzálního zneužití.
Mezi distribucemi, u kterých bylo potvrzeno, že jsou postiženy, jsou ubuntu 24.04.4různé verze RHEL 10.1, CentOS Stream 10, AlmaLinux 10, Fedora 44 a openSUSE TumbleweedTo platí i pro další populární platformy, jako je Arch Linux nebo prostředí WSL2 na Windows. V praxi to znamená, že velká část používaných linuxových serverů a desktopů může být zranitelná, pokud mají implikované moduly a konfigurace.
Vztah k selhání kopírování a dalším nedávným selháním
Dirty Frag přichází hned po Copy Fail (CVE-2026-31431), který už vynutil... urychlení záplat napříč různými linuxovými distribucemi tváří v tvář zranitelnosti umožňující eskalaci oprávnění, která je aktivně zneužívána. Oba sdílejí myšlenku zneužití mezipaměti stránek a rychlých I/O cest, ale Dirty Frag má znepokojivou výhodu: Funguje to i na systémech, kde byla použita opatření proti selhání kopírování., například zámek modulu algif_aead nebo zásady Uzamčení jádra.
Výzkumník poukazuje na to, že Dirty Frag může být spuštěn bez ohledu na to, zda je modul algif_aead povolen nebo blokovánJinými slovy, i když produkční server již implementoval doporučení Copy Fail, zůstává zranitelný vůči tomuto novému zneužití, dokud nebude jádro aktualizováno specifickými záplatami nebo dokud nebudou aplikována dočasná zmírňující opatření.
Dopad na podnikatelské prostředí
V kontextu, kde Linux je široce používán v datových centrech, u poskytovatelů cloudových služeb a ve vládních agenturách.Dirty Frag představuje vysoké riziko laterální eskalace v rámci interních sítí. Útočník, který získá přístup běžného uživatele (například prostřednictvím odcizených přihlašovacích údajů, zranitelné webové aplikace nebo špatně nakonfigurované služby), Mohl jsem okamžitě získat lokální root přístup a bez nutnosti využívat složité podmínky.
Pro organizace, které provozují kritické služby na distribucích, jako jsou Ubuntu, RHEL, CentOS Stream, Fedora nebo AlmaLinux, se problém neomezuje pouze na jednoho dodavatele: zranitelnost Nachází se v samotném linuxovém jádře.Některé projekty, jako například AlmaLinux, již začaly pracovat na první záplaty k testováníK datu publikace však stále neexistuje žádné široce používané oficiální řešení.
Tento scénář nutí mnoho bezpečnostních a systémových týmů implementovat předběžná opatřeníZkontrolujte inventáře serverů a pracovních stanic a upřednostněte prostředí s uživateli, kteří mají interaktivní shell nebo možnost spouštět binární soubory v systému, a zabezpečte přihlašovací údaje (například změnit heslo uživatele root), protože je to právě ten vektor, který Dirty Frag využívá.
Kde se nachází chyba jádra?
Na technické úrovni se Dirty Frag nachází v rychlé trasy pro dešifrování na místě z síťových modulů jádra esp4, esp6 a rxrpc. Když síťový paket dorazí zabalený v ESP nebo přes RxRPC, přijímací cesta se jej pokusí dešifrovat bez dalších kopií dat, aby se zvýšil výkon.
Problém nastává, když tyto balíčky obsahují fragmenty stránkované paměti, které nejsou výhradně vlastněny jádrem, například stránky v mezipaměti stránek spojené s operacemi splice o MSG_SPLICE_PAGESMísto práce se soukromým bufferem jádro pište přímo na tyto sdílené stránkyna které se stále odkazuje proces neprivilegovaného uživatele. To odhaluje prostý text dat nebo, co je horší, umožňuje jejich úmyslné poškození.
Podle analýz publikovaných na bezpečnostních e-mailových seznamech, jako například zabezpečení OSSS a NetdevLednový commit z roku 2017, který zavedl zranitelnost xfrm-ESP, byl také příčinou předchozího přetečení vyrovnávací paměti (CVE-2022-27666), což naznačuje, že Stejná změna v kódu způsobila několik bezpečnostních problémů. v těchto letech.
Absence záplat a porušení embarga
Dirty Frag byl soukromě nahlášen Správci linuxového jádra k 30. dubnu 2026Původní plán byl ponechat informace pod embargem do poloviny května, aby se poskytl čas na přípravu záplat, koordinaci jejich vydání s distributory a minimalizaci doby, do kdy se informace dostanou k dispozici.
Třetí strana, která nemá nic společného s koordinačním procesem, však zveřejnila Podrobnosti o zneužití ESP 7. květnaporušení embarga. Vzhledem k této situaci se výzkumník rozhodl zveřejnit veškeré informace, včetně Funkční ověření konceptu schopného získat root přístup jediným příkazemVýsledkem je, že většina distribučních společností a zbytek světa byly nuceny reagovat za pochodu, aniž by měly připravená řešení.
V době zveřejnění, V hlavním kernelovém stromu nebyly žádné oficiální záplaty. Ani hlavní dodavatelé nedistribuují aktualizované verze. Někteří poskytovatelé, jako například AlmaLinux, vydali předběžné záplaty pro interní testování, ale administrátoři se stále spoléhají především na zmírňující opatření na úrovni konfigurace.
Jak zmírnit Dirty Frag během čekání na záplaty
Vzhledem k absenci okamžitých aktualizací je obecným doporučením bezpečnostní komunity blokovat nebo zakazovat příslušné moduly jádra v rozsudku: esp4, esp6 y rxrpcTím se zabrání načítání nebo používání zranitelných tras, což drasticky snižuje plochu pro útok.
Pro většinu stolních systémů a univerzálních serverů tyto moduly nejsou zásadníprotože se primárně týkají funkcí IPsec (šifrování síťového provozu) a RxRPC, což je mechanismus vzdáleného volání procedur, který je ve standardních nasazeních méně běžný. V prostředích, která však používají VPN IPsec založené na ESP nebo jiné specifické služby; jejich deaktivace může ovlivnit připojení a je třeba posoudit rizika.
Rychlý a automatizovaný způsob, jak tuto ochranu aplikovat, je vytvořit konfiguraci modprobe, která vynutí nahrazení zranitelných modulů neškodným binárním souborem a odinstaluje je, pokud již byly aktivní. Různé zdroje informací o zabezpečení sdílejí příkazový řádek podobný následujícímu:
sudo sh -c "printf 'install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"Tento příkaz vytvoří soubor /etc/modprobe.d/dirtyfrag.conf s pravidly, která brání modulům esp4, esp6 y rxrpc Znovu je načtěte a poté je zkuste uvolnit, pokud již byly v paměti. Pro drtivou většinu webových serverů, databází nebo běžných obchodních aplikací v infrastrukturách, Nemělo by to způsobovat přerušeníVždy se však doporučuje nejprve otestovat v předprodukčním prostředí.
Ověření konceptu a riziko zneužití v reálném světě
Spolu s veřejným vydáním Dirty Frag publikoval výzkumník repozitář s kódem pro ověření konceptuTo umožňuje kompilaci a spuštění exploitu pomocí několika příkazů. Výsledný binární soubor zřetězí dvě útočné cesty (ESP a RxRPC) a na zranitelných systémech... okamžitě povýší aktuálního uživatele na root.
Některé technické zdroje, které analyzovaly selhání, naznačují, že se jim podařilo reprodukovat zranitelnost v různých distribucíchTo zahrnuje aktualizované instalace Arch Linuxu a systémy s nejnovějším hlavním jádrem. Dokonce bylo pozorováno, že prostředí jako WSL2, stále častěji používané vývojáři, vykazují stejné chování, pokud základní jádro splňuje nezbytné podmínky.
Kombinace snadno použitelného veřejného exploitu a okno bez záplat k dispozici To zvyšuje pravděpodobnost, že se škodlivé skupiny pokusí integrovat Dirty Frag do svých útočných řetězců. Pro mnoho organizací to znamená naléhavou revizi jejich řízení přístupu, posílení segmentace interní sítě a posílení monitorování podezřelé aktivity na linuxových serverech.
Distribuční reakce a další kroky
Ačkoli toto oznámení zaskočilo velkou část ekosystému, několik poskytovatelů linuxových systémů začalo... pracovat na specifických záplatách pro postižené dešifrovací trasySám výzkumník poslal opravu pro část RxRPC na mailing list netdev do konce dubna a očekává se, že řešení budou v nadcházejících dnech nebo týdnech integrována do stabilních větví jádra.
V případě distribucí se silnou účastí, jako např. Ubuntu, Debian, RHEL, SUSE, openSUSE, Fedora nebo AlmaLinuxDůraz je kladen na poskytování řádně otestovaných aktualizací jádra prostřednictvím jejich obvyklých bezpečnostních kanálů. Administrátoři a IT manažeři jsou zároveň vyzýváni, aby pečlivě sledujte bezpečnostní doporučení Aktualizace nainstalujte, jakmile budou k dispozici v oficiálních repozitářích.
Nedávné zkušenosti s Dirty Pipe, Copy Fail a nyní i Dirty Frag zdůrazňují potřebu Vylepšete bezpečnostní kontroly v kritických částech jádrazejména ve vysoce výkonných oblastech, jako jsou rychlé sítě a I/O cesty, kde agresivní optimalizace mohou způsobit jemné, ale velmi nebezpečné chyby.
Výskyt Dirty Fragu spolu s dalšími nedávnými chybami opět zdůrazňuje důležitost údržby. agilní politika aktualizací a hloubková kontrola obrany na jakékoli linuxové infrastruktuře. Přestože pro tuto zranitelnost stále neexistují žádné definitivní záplaty, deaktivace příslušných modulů, monitorovacích systémů a příprava na rychlé nasazení budoucích aktualizací jádra se prozatím stala nejlepším krizovým plánem pro minimalizaci dopadu tohoto nového útočného vektoru.
