Dirty Frag adalah kerentanan kernel Linux yang baru diungkapkanrantai yang memungkinkan pengguna lokal yang tidak memiliki hak istimewa mendapatkan akses root pada sistem yang terpengaruh. Masalah ini mempengaruhi komponen jaringan kernel yang terkait dengan ESP dan RxRPC, dan aktivitas pembuktian konsep publik telah meningkatkan urgensi bagi administrator.
Kedua kelemahan tersebut dilacak sebagai CVE-2026-43284 dan CVE-2026-43500. Mereka dapat dirangkai untuk merusak data cache halaman dan berpindah dari akses tingkat rendah ke kontrol sistem penuh.
Ini bukanlah serangan jarak jauh saja. Penyerang memerlukan akses lokal terlebih dahulu, seperti akun pengguna yang disusupi, shell web, akses SSH, atau beban kerja container yang dapat menjalankan kode pada host. Setelah pijakan itu ada, Dirty Frag dapat meningkatkan kerusakan dengan memberikan hak akses root kepada penyerang.
Apa itu Frag Kotor
Dirty Frag adalah masalah eskalasi hak istimewa lokal Linux yang ditemukan dan dilaporkan oleh peneliti keamanan Hyunwoo Kim. Kelas kerentanan bekerja dengan merangkai dua kelemahan penulisan cache halaman yang terpisah di kernel Linux.
Cacat pertama mempengaruhi dukungan ESP yang digunakan oleh IPsec dan dilacak sebagai CVE-2026-43284. Yang kedua memengaruhi RxRPC dan dilacak sebagai CVE-2026-43500.
Namanya memiliki dperbandingan mentah dengan bug cache halaman Linux sebelumnyaseperti Pipa Kotor dan Salin Gagal. Kesamaan ini penting karena bug ini dapat mengubah apa yang dibaca sistem dari file yang dilindungi di memori, bahkan ketika penyerang tidak memiliki izin menulis ke file tersebut.
Sekilas
| Barang | Detail |
|---|---|
| Nama kerentanan | Pecahan Kotor |
| ID CVE | CVE-2026-43284 dan CVE-2026-43500 |
| Jenis kerentanan | Peningkatan hak istimewa lokal Linux |
| Dampak utama | Penyerang lokal bisa mendapatkan hak akses root |
| Daerah yang terkena dampak | ESP, modul terkait IPsec, dan RxRPC |
| Status eksploitasi | Aktivitas pembuktian konsep publik dilaporkan |
Mengapa cacatnya serius
Dirty Frag penting karena kelemahan eskalasi hak istimewa lokal sering kali muncul setelah penyerang memiliki pijakan yang terbatas. Dengan akses root, penyerang dapat menonaktifkan alat keamanan, mencuri kredensial, mengubah log, menginstal persistensi, dan masuk lebih dalam ke lingkungan.
Microsoft mengatakan Dirty Frag dapat digunakan setelah kompromi awal melalui akses SSH, eksekusi shell web, skenario pelarian kontainer, atau akun dengan hak istimewa rendah yang disusupi. Perusahaan juga mengatakan lingkungan yang terkena dampak mungkin termasuk penerapan Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE, dan OpenShift.
Microsoft juga melaporkan aktivitas terbatas yang melibatkan pola peningkatan hak istimewa yang mungkin terkait dengan Dirty Frag atau Copy Fail. Hal ini menjadikan masalah ini lebih mendesak daripada bug kernel yang hanya bersifat teoretis.
Cara kerja serangan pada level tinggi
Rantai Dirty Frag menargetkan bagaimana kernel Linux menangani fragmen memori tertentu dan data cache halaman. Dalam kondisi yang tepat, penyerang dapat membuat data file yang dilindungi tampak termodifikasi di memori tanpa langsung menulis ke file di disk.
CVE-2026-43284 mempengaruhi jalur ESP yang digunakan oleh IPsec.Ubuntu menjelaskan masalahnyasebagai kasus dimana fragmen skb bersama dapat dimodifikasi tanpa terlebih dahulu membuat salinan pribadi.
CVE-2026-43500 mempengaruhi RxRPC. Jika dikaitkan dengan masalah ESP, hal ini dapat memperluas jumlah sistem yang memungkinkan jalur eskalasi hak istimewa berfungsi.
Sistem yang terkena dampak
Ubuntu mengatakan kerentanan tersebut diungkapkan secara publik pada 7 Mei 2026, dan memengaruhi modul kernel Linux. Panduannya mencantumkan banyak halRilis Ubuntu terpengaruhd, termasuk 14,04 LTS, 16,04 LTS, 18,04 LTS, 20,04 LTS, 22,04 LTS, 24,04 LTS, 25,10, dan 26,04 LTS.
Red Hat juga menerbitkan buletin keamanan untuk Dirty Frag dan mengatakan pengguna dengan akun lokal dapat memicu kelemahan tersebut untuk mendapatkan hak akses root. Red Hat menyebut masalah ini sebagai Copy Fail 2 karena kemiripannya dengan kerentanan Copy Fail sebelumnya.
Tim keamanan tidak boleh berasumsi hanya server yang terhubung ke internet saja yang penting. Stasiun kerja pengembang, runner CI, container, desktop Linux, server internal, beban kerja cloud, dan lingkungan bergaya WSL mungkin juga perlu ditinjau.
Status patch dan mitigasinya
Administrator harus menerapkan pembaruan kernel yang disediakan vendor segera setelah tersedia untuk distribusi dan paket kernel mereka. Waktu patch dapat bervariasi menurut vendor, varian kernel, tingkat dukungan, dan image cloud.
Microsoft mengatakan patch kernel Linux untuk CVE-2026-43284dirilis pada 8 Mei 2026. Dikatakan juga bahwa CVE-2026-43500 masih tertunda di beberapa tempat pada saat itu.
Ubuntu merekomendasikan mitigasi sementara yang memblokir modul yang terpengaruh agar tidak memuat dan membongkarnya jika sudah aktif. Hal ini dapat mengurangi paparan, namun dapat merusak sistem yang mengandalkan IPsec, StrongSwan, AFS, atau beban kerja berbasis RxRPC lainnya.
Apa yang harus diperiksa oleh administrator
- Identifikasi host Linux yang mengizinkan pengguna lokal atau beban kerja kontainer.
- Periksa apakah modul ESP dan RxRPC yang terpengaruh telah dimuat.
- Tinjau saran vendor untuk paket kernel yang tepat yang digunakan pada setiap sistem.
- Terapkan pembaruan kernel saat distribusi Anda merilisnya.
- Pertimbangkan pemblokiran modul sementara hanya setelah memeriksa dependensi IPsec dan RxRPC.
- Tinjau peringatan peningkatan hak istimewa terkini dan aktivitas tingkat root yang mencurigakan.
- Validasi integritas file sensitif jika diduga ada eksploitasi.
Mengapa lingkungan kontainer memerlukan perhatian
Lingkungan container patut mendapat perhatian ekstra karena bug eskalasi hak istimewa lokal terkadang dapat membantu penyerang berpindah dari beban kerja terbatas ke posisi yang lebih kuat di host.
Ubuntu mengatakan penerapan yang menjalankan beban kerja pihak ketiga secara sewenang-wenang mungkin menghadapi risiko tambahan pelepasan kontainer, meskipun bukti konsep publik untuk pelepasan kontainer tidak dipublikasikan dalam panduannya.
Hal ini menjadikan Dirty Frag sangat penting bagi penyedia hosting, platform CI, sistem pengembangan bersama, server cloud, dan lingkungan yang menjalankan beban kerja tidak tepercaya.
Apa yang membuat Dirty Frag berbeda
Dirty Frag tidak bergantung pada perlombaan waktu yang rapuh seperti yang dilakukan banyak eksploitasi kernel lama. Laporan menggambarkannya sebagai lebih dapat diandalkan dibandingkan teknik eskalasi hak istimewa kondisi ras tradisional.
Keandalan tersebut meningkatkan risiko setelah penyerang mendapatkan akses awal. Shell dengan hak istimewa rendah yang mungkin memiliki nilai terbatas dapat menjadi jalan menuju kontrol root penuh.
Bukti konsep publik juga mengubah garis waktu. Pembela HAM harus memperlakukan masalah ini sebagai sesuatu yang dapat diuji dengan cepat oleh penyerang, terutama pada sistem yang tertinggal dalam pembaruan kernel.
Ringkasan
- Dirty Frag adalah rantai kerentanan eskalasi hak istimewa lokal Linux.
- Kedua kelemahan tersebut dilacak sebagai CVE-2026-43284 dan CVE-2026-43500.
- Penyerang memerlukan eksekusi kode lokal terlebih dahulu, tetapi rantai tersebut dapat mengarah ke akses root.
- Ubuntu, Red Hat, Fedora, AlmaLinux, CentOS Stream, openSUSE, dan lingkungan terkait mungkin perlu ditinjau.
- Administrator harus menerapkan pembaruan kernel dan mempertimbangkan mitigasi yang direkomendasikan vendor jika patch belum tersedia.
Pertanyaan Umum
Apa itu Frag Kotor?
Dirty Frag adalah rantai kerentanan eskalasi hak istimewa lokal kernel Linux yang memungkinkan penyerang lokal mendapatkan hak istimewa root pada sistem yang terpengaruh.
CVE apa yang ditautkan ke Dirty Frag?
Frag Kotor ditautkan ke CVE-2026-43284 dan CVE-2026-43500. Yang pertama mempengaruhi jalur kernel terkait ESP, sedangkan yang kedua mempengaruhi RxRPC.
Bisakah Dirty Frag dieksploitasi dari jarak jauh?
Dirty Frag bukanlah eksploitasi jarak jauh dengan sendirinya. Penyerang pertama-tama memerlukan eksekusi kode lokal melalui akun yang disusupi, shell web, akses SSH, beban kerja container, atau pijakan lainnya.
Apakah patch tersedia?
Ketersediaan patch tergantung pada distribusi Linux dan paket kernel. Administrator harus memeriksa saran vendor dan menginstal pembaruan kernel terbaru yang dirilis untuk sistem mereka.