פגמי לינוקס מלוכלכים מאפשרים לתוקפים מקומיים לקבל גישה לשורשים

Dirty Frag היא פגיעות של ליבת לינוקס שנחשפה לאחרונהשרשרת שיכולה לאפשר למשתמש מקומי ללא הרשאות לקבל גישת שורש במערכות מושפעות. הבעיה משפיעה על רכיבי רשת ליבה הקשורים ל-ESP ו-RxRPC, ופעילות הוכחת מושג ציבורית כבר העלתה את הדחיפות למנהלים.

מעקב אחר שני הפגמים הוא CVE-2026-43284 ו-CVE-2026-43500. ניתן לשרשר אותם כדי להתעסק בנתוני מטמון הדפים ולעבור מגישה ברמה נמוכה לשליטה מלאה במערכת.

זו לא התקפה מרחוק בפני עצמה. תוקף צריך קודם כל גישה מקומית, כגון חשבון משתמש שנפרץ, מעטפת אינטרנט, גישת SSH או עומס עבודה של מיכל שיכול להריץ קוד על המארח. ברגע שדריסת הרגל הזו קיימת, Dirty Frag יכול להגדיל את הנזק על ידי מתן הרשאות שורש לתוקף.

מה זה Dirty Frag

Dirty Frag היא בעיית הסלמה מקומית של הרשאות לינוקס שהתגלתה ודווחה על ידי חוקר האבטחה Hyunwoo Kim. מחלקת הפגיעות פועלת על ידי שרשור שני פגמי כתיבה נפרדים של מטמון עמודים בקרנל של לינוקס.

הפגם הראשון משפיע על תמיכת ה-ESP המשמשת את IPsec, ונמצא במעקב כ-CVE-2026-43284. השני משפיע על RxRPC ונושק כ-CVE-2026-43500.

לשם יש דהשוואות גולמיות לבאגים קודמים של Linux page-cacheכגון Dirty Pipe ו-Copy Fail. הדמיון חשוב כי באגים אלה יכולים לשנות את מה שהמערכת קוראת מקבצים מוגנים בזיכרון, גם כאשר לתוקף לא אמורה להיות הרשאת כתיבה לקבצים הללו.

במבט אחד

מדוע הפגם חמור

שבר מלוכלך חשוב כי פגמים בהסלמה של הרשאות מקומיות מופיעים לעתים קרובות לאחר שלתוקף כבר יש דריסת רגל מוגבלת. עם גישת שורש, התוקף יכול להשבית כלי אבטחה, לגנוב אישורים, לשנות יומנים, להתקין התמדה ולעבור עמוק יותר לתוך הסביבה.

מיקרוסופט מסרה כי ניתן להשתמש ב-Dirty Frag לאחר פשרה ראשונית באמצעות גישת SSH, הפעלת מעטפת אינטרנט, תרחישי בריחה של מיכל או חשבון בעל זכויות נמוכות. החברה גם אמרה שהסביבות המושפעות עשויות לכלול פריסות אובונטו, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE ו-OpenShift.

מיקרוסופט דיווחה גם על פעילות מוגבלת בטבע הכוללת דפוסי הסלמה של הרשאות שעשויות להתייחס ל-Dirty Frag או Copy Fail. זה הופך את הנושא לדחוף יותר מאשר באג ליבה תיאורטי בלבד.

איך המתקפה עובדת ברמה גבוהה

שרשרת Dirty Frag מכוונת לאופן שבו ליבת לינוקס מטפלת בשברי זיכרון מסוימים ונתוני מטמון עמודים. בתנאים הנכונים, תוקף יכול לגרום לנתוני קבצים מוגנים להופיע בזיכרון מבלי לכתוב ישירות לקובץ בדיסק.

CVE-2026-43284 משפיע על נתיבי ESP המשמשים את IPsec.אובונטו מתארת ​​את הבעיהכמקרה שבו ניתן לשנות קטעי skb משותפים מבלי ליצור תחילה עותק פרטי.

CVE-2026-43500 משפיע על RxRPC. כאשר הוא קשור לבעיית ה-ESP, הוא יכול להרחיב את מספר המערכות שבהן נתיב ההסלמה של ההרשאות עשוי לעבוד.

מערכות מושפעות

אובונטו אומרת שהפגיעויות נחשפו בפומבי ב-7 במאי 2026 ומשפיעות על מודולי ליבת לינוקס. ההנחיה שלו מפרטת מספר רב של דבריםאובונטו משחררת כפי שהושפעהד, כולל 14.04 ל"ת, 16.04 ל"ת, 18.04 ל"ת, 20.04 ל"ת, 22.04 ל"ת, 24.04 ל"ת, 25.10 ו-26.04 ל"ת.

Red Hat גם פרסם עלון אבטחה עבור Dirty Frag ואמר שמשתמש עם חשבון מקומי יכול להפעיל את הפגמים כדי להשיג הרשאות שורש. Red Hat מתייחס לבעיה כ-Copy Fail 2 בגלל הדמיון שלה לפגיעות הקודמת של Copy Fail.

צוותי אבטחה לא צריכים להניח שרק שרתים הפונים לאינטרנט חשובים. תחנות עבודה של מפתחים, רצים CI, קונטיינרים, שולחנות עבודה של לינוקס, שרתים פנימיים, עומסי עבודה בענן וסביבות בסגנון WSL עשויים גם הם להזדקק לבדיקה.

מצב תיקון והפחתה

מנהלי מערכת צריכים להחיל עדכוני ליבה שסופקו על ידי הספק ברגע שהם הופכים זמינים עבור ההפצה וחבילת הקרנל שלהם. תזמון התיקון יכול להשתנות לפי ספק, טעם ליבה, שכבת תמיכה ותמונת ענן.

מיקרוסופט אמרה כי תיקוני ליבת לינוקס עבור CVE-2026-43284שוחררו ב-8 במאי 2026. הוא גם אמר ש-CVE-2026-43500 עדיין ממתין במקומות מסוימים באותו זמן.

אובונטו ממליצה על הקלה זמנית שחוסמת את טעינת המודולים המושפעים ופורקת אותם אם הם כבר פעילים. זה יכול להפחית את החשיפה, אבל זה עלול לשבור מערכות המסתמכות על IPsec, StrongSwan, AFS או עומס עבודה אחר מבוסס RxRPC.

מה מנהלי מערכת צריכים לבדוק

• זהה מארחי לינוקס המאפשרים למשתמשים מקומיים או עומסי עבודה של מיכל.
• בדוק אם מודולי ESP ו-RxRPC מושפעים נטענים.
• סקור את המלצות הספק עבור חבילת הליבה המדויקת המשמשת בכל מערכת.
• החל עדכוני ליבה כאשר ההפצה שלך משחררת אותם.
• שקול חסימת מודול זמנית רק לאחר בדיקת התלות של IPsec ו-RxRPC.
• סקור התראות על הסלמה אחרונות של הרשאות ופעילות חשודה ברמת השורש.
• אמת את תקינותם של קבצים רגישים אם יש חשד לניצול.

מדוע סביבות מיכל זקוקות לתשומת לב

סביבות מיכל ראויות לתשומת לב נוספת מכיוון שבאגים מקומיים להסלמה של הרשאות יכולים לפעמים לעזור לתוקפים לעבור מעומס עבודה מוגבל לעמדה חזקה יותר במארח.

אובונטו טוענת כי פריסות שמריצות עומסי עבודה שרירותיים של צד שלישי עלולות לעמוד בפני סיכון נוסף לבריחה ממכולות, אם כי הוכחה ציבורית לבריחה ממכולות לא פורסמה בהנחיה שלה.

זה הופך את Dirty Frag לחשוב במיוחד עבור ספקי אירוח, פלטפורמות CI, מערכות פיתוח משותפות, שרתי ענן וסביבות שמריצות עומסי עבודה לא מהימנים.

מה מייחד את Dirty Frag

Dirty Frag אינו מסתמך על מירוץ תזמון שביר, באותה דרך שמנצלים ניצולי ליבה ישנים רבים יותר. דיווחים מתארים את זה כאמין יותר מאשר טכניקות הסלמה מסורתיות של הרשאות תנאי גזע.

מהימנות זו מגדילה את הסיכון לאחר שתוקפים מקבלים גישה ראשונית. מעטפת בעלת זכויות נמוכות שאחרת עשויה להיות בעלת ערך מוגבל יכולה להפוך לנתיב לבקרת שורש מלאה.

ההוכחה הציבורית משנה גם את ציר הזמן. המגינים צריכים להתייחס לבעיה כאל משהו שתוקפים יכולים לבדוק במהירות, במיוחד במערכות שנמצאות בפיגור לגבי עדכוני ליבה.

תַקצִיר

1. Dirty Frag היא שרשרת פגיעות של הסלמה בהרשאות מקומית של לינוקס.
2. מעקב אחר שני הפגמים הוא CVE-2026-43284 ו-CVE-2026-43500.
3. תוקף צריך תחילה ביצוע קוד מקומי, אך השרשרת עלולה להוביל לגישה לשורש.
4. אובונטו, Red Hat, Fedora, AlmaLinux, CentOS Stream, openSUSE וסביבות קשורות עשויות להזדקק לבדיקה.
5. על מנהלי מערכת להחיל עדכוני ליבה ולשקול פתרונות שיפור המומלצים על ידי הספק כאשר התיקונים אינם זמינים עדיין.

שאלות נפוצות