Dirty Frag est une vulnérabilité du noyau Linux récemment révéléechaîne qui peut permettre à un utilisateur local non privilégié d’obtenir un accès root sur les systèmes concernés. Le problème affecte les composants réseau du noyau liés à ESP et RxRPC, et l'activité publique de preuve de concept a déjà souligné l'urgence pour les administrateurs.
Les deux failles sont suivies sous les noms CVE-2026-43284 et CVE-2026-43500. Ils peuvent être enchaînés pour falsifier les données du cache de pages et passer d'un accès de bas niveau à un contrôle total du système.
Il ne s’agit pas en soi d’une attaque à distance. Un attaquant a d'abord besoin d'un accès local, tel qu'un compte utilisateur compromis, un shell Web, un accès SSH ou une charge de travail de conteneur capable d'exécuter du code sur l'hôte. Une fois que ce point d'ancrage existe, Dirty Frag peut augmenter les dégâts en donnant à l'attaquant les privilèges root.
Qu'est-ce que Dirty Frag ?
Dirty Frag est un problème d'élévation de privilèges local Linux découvert et signalé par le chercheur en sécurité Hyunwoo Kim. La classe de vulnérabilité fonctionne en enchaînant deux failles d'écriture distinctes dans le cache de pages dans le noyau Linux.
La première faille affecte le support ESP utilisé par IPsec et est suivie comme CVE-2026-43284. Le second affecte RxRPC et est suivi comme CVE-2026-43500.
Le nom a dcomparaisons brutes avec les bogues antérieurs du cache de pages Linuxtels que Dirty Pipe et Copy Fail. La similitude est importante car ces bogues peuvent modifier ce que le système lit à partir des fichiers protégés en mémoire, même lorsque l'attaquant ne devrait pas avoir l'autorisation d'écriture sur ces fichiers.
En un coup d'œil
| Article | Détails |
|---|---|
| Nom de la vulnérabilité | Frag sale |
| Identifiants CVE | CVE-2026-43284 et CVE-2026-43500 |
| Type de vulnérabilité | Élévation de privilèges locale Linux |
| Impact principal | Un attaquant local peut obtenir les privilèges root |
| Zones touchées | ESP, modules liés à IPsec et RxRPC |
| Statut d'exploitation | Activité de preuve de concept publique signalée |
Pourquoi le défaut est grave
Dirty Frag est important car les failles d'élévation de privilèges locales apparaissent souvent après qu'un attaquant a déjà une emprise limitée. Avec un accès root, l'attaquant peut désactiver les outils de sécurité, voler les informations d'identification, modifier les journaux, installer la persistance et s'enfoncer plus profondément dans l'environnement.
Microsoft a déclaré que Dirty Frag pouvait être utilisé après une compromission initiale via un accès SSH, l'exécution d'un shell Web, des scénarios d'évasion de conteneur ou un compte à faible privilège compromis. La société a également déclaré que les environnements concernés pourraient inclure les déploiements Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE et OpenShift.
Microsoft a également signalé une activité limitée dans la nature impliquant des modèles d'élévation de privilèges pouvant être liés à Dirty Frag ou Copy Fail. Cela rend le problème plus urgent qu'un bug purement théorique du noyau.
Comment fonctionne l'attaque à un niveau élevé
La chaîne Dirty Frag cible la manière dont le noyau Linux gère certains fragments de mémoire et données de cache de pages. Dans de bonnes conditions, un attaquant peut faire apparaître les données d'un fichier protégé modifiées en mémoire sans écrire directement dans le fichier sur le disque.
CVE-2026-43284 affecte les chemins ESP utilisés par IPsec.Ubuntu décrit le problèmecomme un cas où les fragments skb partagés pourraient être modifiés sans faire au préalable une copie privée.
CVE-2026-43500 affecte RxRPC. Lorsqu'il est associé au problème ESP, il peut augmenter le nombre de systèmes sur lesquels la voie d'élévation des privilèges peut fonctionner.
Systèmes concernés
Ubuntu affirme que les vulnérabilités ont été divulguées publiquement le 7 mai 2026 et affectent les modules du noyau Linux. Ses directives énumèrent plusieursUbuntu releases as affected, dont 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS, 25.10 et 26.04 LTS.
Red Hat a également publié un bulletin de sécurité pour Dirty Frag et a déclaré qu'un utilisateur disposant d'un compte local pourrait déclencher les failles pour obtenir les privilèges root. Red Hat fait référence au problème sous le nom de Copy Fail 2 en raison de sa similitude avec la vulnérabilité Copy Fail précédente.
Les équipes de sécurité ne doivent pas supposer que seuls les serveurs connectés à Internet sont importants. Les postes de travail des développeurs, les exécuteurs CI, les conteneurs, les postes de travail Linux, les serveurs internes, les charges de travail cloud et les environnements de style WSL peuvent également nécessiter un examen.
État des correctifs et atténuation
Les administrateurs doivent appliquer les mises à jour du noyau fournies par le fournisseur dès qu'elles sont disponibles pour leur distribution et leur package de noyau. Le calendrier des correctifs peut varier selon le fournisseur, la version du noyau, le niveau de support et l'image cloud.
Microsoft a déclaré des correctifs du noyau Linux pour CVE-2026-43284ont été publiés le 8 mai 2026. Il a également indiqué que CVE-2026-43500 était toujours en attente dans certains endroits à ce moment-là.
Ubuntu recommande une atténuation temporaire qui bloque le chargement des modules concernés et les décharge s'ils sont déjà actifs. Cela peut réduire l'exposition, mais cela peut interrompre les systèmes qui s'appuient sur IPsec, StrongSwan, AFS ou une autre charge de travail basée sur RxRPC.
Ce que les administrateurs doivent vérifier
- Identifiez les hôtes Linux qui autorisent les utilisateurs locaux ou les charges de travail de conteneurs.
- Vérifiez si les modules ESP et RxRPC concernés sont chargés.
- Consultez les avis des fournisseurs pour connaître le package de noyau exact utilisé sur chaque système.
- Appliquez les mises à jour du noyau lorsque votre distribution les publie.
- Envisagez le blocage temporaire du module uniquement après avoir vérifié les dépendances IPsec et RxRPC.
- Examinez les alertes récentes d’élévation de privilèges et les activités suspectes au niveau racine.
- Validez l’intégrité des fichiers sensibles si une exploitation est suspectée.
Pourquoi les environnements de conteneurs nécessitent une attention particulière
Les environnements de conteneurs méritent une attention particulière, car les bogues locaux d’élévation de privilèges peuvent parfois aider les attaquants à passer d’une charge de travail limitée à une position plus puissante sur l’hôte.
Ubuntu indique que les déploiements qui exécutent des charges de travail tierces arbitraires peuvent être confrontés à un risque supplémentaire d'évasion de conteneur, bien qu'une preuve de concept publique pour l'évasion de conteneur n'ait pas été publiée dans ses directives.
Cela rend Dirty Frag particulièrement important pour les fournisseurs d'hébergement, les plates-formes CI, les systèmes de développement partagés, les serveurs cloud et les environnements qui exécutent des charges de travail non fiables.
Ce qui rend Dirty Frag différent
Dirty Frag ne s'appuie pas sur une course au timing fragile comme le font de nombreux anciens exploits du noyau. Les rapports le décrivent comme plus fiable que les techniques traditionnelles d’élévation des privilèges en cas de condition de concurrence.
Cette fiabilité augmente le risque une fois que les attaquants ont obtenu l’accès initial. Un shell peu privilégié qui pourrait autrement avoir une valeur limitée peut devenir une voie vers un contrôle total de la racine.
La preuve de concept publique modifie également la chronologie. Les défenseurs doivent traiter le problème comme quelque chose que les attaquants peuvent tester rapidement, en particulier sur les systèmes en retard dans les mises à jour du noyau.
Résumé
- Dirty Frag est une chaîne de vulnérabilités d'élévation de privilèges locale Linux.
- Les deux failles sont suivies sous les noms CVE-2026-43284 et CVE-2026-43500.
- Un attaquant doit d'abord exécuter du code local, mais la chaîne peut conduire à un accès root.
- Ubuntu, Red Hat, Fedora, AlmaLinux, CentOS Stream, openSUSE et les environnements associés peuvent nécessiter une révision.
- Les administrateurs doivent appliquer les mises à jour du noyau et prendre en compte les mesures d'atténuation recommandées par le fournisseur lorsque les correctifs ne sont pas encore disponibles.
FAQ
Qu’est-ce que Dirty Frag ?
Dirty Frag est une chaîne de vulnérabilités d'élévation de privilèges locaux du noyau Linux qui peut permettre à un attaquant local d'obtenir les privilèges root sur les systèmes affectés.
Quels CVE sont liés à Dirty Frag ?
Dirty Frag est lié à CVE-2026-43284 et CVE-2026-43500. Le premier affecte les chemins du noyau liés à ESP, tandis que le second affecte RxRPC.
Dirty Frag peut-il être exploité à distance ?
Dirty Frag n'est pas un exploit à distance en soi. Un attaquant doit d’abord exécuter du code local via un compte compromis, un shell Web, un accès SSH, une charge de travail de conteneur ou un autre point d’ancrage.
Des correctifs sont-ils disponibles ?
La disponibilité des correctifs dépend de la distribution Linux et du package du noyau. Les administrateurs doivent consulter les avis des fournisseurs et installer les dernières mises à jour du noyau publiées pour leurs systèmes.