Dirty Frag is een nieuw onthulde Linux-kernelkwetsbaarheidketen waarmee een lokale, onbevoegde gebruiker root-toegang kan krijgen op getroffen systemen. Het probleem heeft gevolgen voor kernelnetwerkcomponenten die verband houden met ESP en RxRPC, en openbare proof-of-concept-activiteiten hebben de urgentie voor beheerders al vergroot.
De twee fouten worden bijgehouden als CVE-2026-43284 en CVE-2026-43500. Ze kunnen worden gekoppeld om met paginacachegegevens te knoeien en van toegang op laag niveau naar volledige systeemcontrole te gaan.
Dit is op zichzelf geen aanval op afstand. Een aanvaller heeft eerst lokale toegang nodig, zoals een gecompromitteerd gebruikersaccount, webshell, SSH-toegang of een containerworkload die code op de host kan uitvoeren. Zodra dat vaste punt bestaat, kan Dirty Frag de schade vergroten door de aanvaller rootrechten te geven.
Wat Dirty Frag is
Dirty Frag is een escalatieprobleem van lokale Linux-privileges ontdekt en gerapporteerd door beveiligingsonderzoeker Hyunwoo Kim. De kwetsbaarheidsklasse werkt door twee afzonderlijke schrijffouten in de paginacache in de Linux-kernel aan elkaar te koppelen.
De eerste fout betreft de ESP-ondersteuning die door IPsec wordt gebruikt en wordt bijgehouden als CVE-2026-43284. De tweede heeft invloed op RxRPC en wordt bijgehouden als CVE-2026-43500.
De naam heeft drauwe vergelijkingen met eerdere Linux-pagina-cache-bugszoals Dirty Pipe en Copy Fail. De gelijkenis is van belang omdat deze bugs kunnen veranderen wat het systeem leest van beveiligde bestanden in het geheugen, zelfs als de aanvaller geen schrijfrechten voor die bestanden zou moeten hebben.
In één oogopslag
| Item | Details |
|---|---|
| Naam van de kwetsbaarheid | Vuile Frag |
| CVE-ID's | CVE-2026-43284 en CVE-2026-43500 |
| Type kwetsbaarheid | Escalatie van lokale privileges voor Linux |
| Belangrijkste impact | Een lokale aanvaller kan rootrechten verkrijgen |
| Getroffen gebieden | ESP, IPsec-gerelateerde modules en RxRPC |
| Exploitatiestatus | Openbare proof-of-concept-activiteit gerapporteerd |
Waarom de fout ernstig is
Dirty Frag is van belang omdat fouten in de escalatie van lokale privileges vaak optreden nadat een aanvaller al beperkte voet aan de grond heeft. Met root-toegang kan de aanvaller beveiligingstools uitschakelen, inloggegevens stelen, logbestanden wijzigen, persistentie installeren en dieper de omgeving ingaan.
Microsoft zei dat Dirty Frag kan worden gebruikt na een aanvankelijke aanval via SSH-toegang, uitvoering van een webshell, ontsnappingsscenario's voor containers of een gecompromitteerd account met weinig rechten. Het bedrijf zei ook dat getroffen omgevingen Ubuntu-, RHEL-, CentOS Stream-, AlmaLinux-, Fedora-, openSUSE- en OpenShift-implementaties kunnen omvatten.
Microsoft meldde ook beperkte ‘in-the-wild’-activiteiten met betrekking tot escalatiepatronen van bevoegdheden die verband kunnen houden met Dirty Frag of Copy Fail. Dat maakt de kwestie urgenter dan een puur theoretische kernelbug.
Hoe de aanval op een hoog niveau werkt
De Dirty Frag-keten richt zich op de manier waarop de Linux-kernel omgaat met bepaalde geheugenfragmenten en paginacachegegevens. Onder de juiste omstandigheden kan een aanvaller beveiligde bestandsgegevens in het geheugen gewijzigd laten lijken zonder rechtstreeks naar het bestand op schijf te schrijven.
CVE-2026-43284 beïnvloedt ESP-paden die door IPsec worden gebruikt.Ubuntu beschrijft het probleemin een geval waarin gedeelde skb-fragmenten konden worden gewijzigd zonder eerst een privékopie te maken.
CVE-2026-43500 heeft invloed op RxRPC. In combinatie met het ESP-probleem kan het het aantal systemen uitbreiden waarop het escalatiepad voor bevoegdheden kan werken.
Betrokken systemen
Ubuntu zegt dat de kwetsbaarheden op 7 mei 2026 openbaar zijn gemaakt en gevolgen hebben voor de Linux-kernelmodules. De richtlijnen vermelden er meerdereUbuntu-releases zijn getroffend, inclusief 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS, 25.10 en 26.04 LTS.
Red Hat publiceerde ook een beveiligingsbulletin voor Dirty Frag en zei dat een gebruiker met een lokaal account de fouten zou kunnen activeren om rootrechten te verkrijgen. Red Hat noemt het probleem Copy Fail 2 vanwege de gelijkenis met de eerdere Copy Fail-kwetsbaarheid.
Beveiligingsteams mogen er niet van uitgaan dat alleen op het internet gerichte servers ertoe doen. Werkstations voor ontwikkelaars, CI-runners, containers, Linux-desktops, interne servers, cloudworkloads en WSL-achtige omgevingen moeten mogelijk ook worden herzien.
Patchstatus en -beperking
Beheerders moeten door de leverancier geleverde kernelupdates toepassen zodra deze beschikbaar komen voor hun distributie- en kernelpakket. De patchtiming kan variëren per leverancier, kernelvariant, ondersteuningsniveau en cloudimage.
Microsoft zei Linux-kernelpatches voor CVE-2026-43284werden vrijgegeven op 8 mei 2026. Er stond ook dat CVE-2026-43500 op dat moment op sommige plaatsen nog in behandeling was.
Ubuntu beveelt een tijdelijke oplossing aan die blokkeert dat de getroffen modules worden geladen en verwijderd als ze al actief zijn. Dit kan de blootstelling verminderen, maar kan ook systemen kapot maken die afhankelijk zijn van IPsec, StrongSwan, AFS of een andere op RxRPC gebaseerde werklast.
Wat beheerders moeten controleren
- Identificeer Linux-hosts die lokale gebruikers of containerworkloads toestaan.
- Controleer of de betreffende ESP- en RxRPC-modules zijn geladen.
- Bekijk de adviezen van leveranciers voor het exacte kernelpakket dat op elk systeem wordt gebruikt.
- Pas kernelupdates toe wanneer uw distributie deze vrijgeeft.
- Overweeg het tijdelijk blokkeren van modules alleen nadat u de IPsec- en RxRPC-afhankelijkheden hebt gecontroleerd.
- Bekijk recente waarschuwingen over escalatie van bevoegdheden en verdachte activiteiten op hoofdniveau.
- Valideer de integriteit van gevoelige bestanden als misbruik wordt vermoed.
Waarom containeromgevingen aandacht nodig hebben
Containeromgevingen verdienen extra aandacht omdat bugs in de escalatie van lokale privileges er soms voor kunnen zorgen dat aanvallers van een beperkte werklast naar een krachtigere positie op de host kunnen overstappen.
Ubuntu zegt dat implementaties die willekeurige workloads van derden uitvoeren, te maken kunnen krijgen met extra ontsnappingsrisico's voor containers, hoewel er geen openbare proof-of-concept voor het ontsnappen van containers in de richtlijnen is gepubliceerd.
Dit maakt Dirty Frag vooral belangrijk voor hostingproviders, CI-platforms, gedeelde ontwikkelingssystemen, cloudservers en omgevingen die niet-vertrouwde werklasten uitvoeren.
Wat Dirty Frag anders maakt
Dirty Frag vertrouwt niet op een fragiele timingrace zoals veel oudere kernel-exploits dat doen. Rapporten beschrijven het als betrouwbaarder dan traditionele escalatietechnieken voor privileges op basis van raceomstandigheden.
Die betrouwbaarheid vergroot het risico nadat aanvallers de eerste toegang hebben verkregen. Een shell met weinig privileges die anders een beperkte waarde zou kunnen hebben, kan een pad worden naar volledige rootcontrole.
De publieke proof-of-concept verandert ook de tijdlijn. Verdedigers moeten het probleem behandelen als iets dat aanvallers snel kunnen testen, vooral op systemen die achterlopen op kernelupdates.
Samenvatting
- Dirty Frag is een kwetsbaarheidsketen voor escalatie van lokale privileges in Linux.
- De twee fouten worden bijgehouden als CVE-2026-43284 en CVE-2026-43500.
- Een aanvaller heeft eerst lokale code-uitvoering nodig, maar de keten kan leiden tot root-toegang.
- Ubuntu, Red Hat, Fedora, AlmaLinux, CentOS Stream, openSUSE en gerelateerde omgevingen moeten mogelijk worden beoordeeld.
- Beheerders moeten kernelupdates toepassen en door de leverancier aanbevolen oplossingen overwegen als er nog geen patches beschikbaar zijn.
Veelgestelde vragen
Wat is Dirty Frag?
Dirty Frag is een kwetsbaarheidsketen voor escalatie van lokale privileges in de Linux-kernel waarmee een lokale aanvaller root-privileges kan verkrijgen op getroffen systemen.
Welke CVE's zijn gekoppeld aan Dirty Frag?
Dirty Frag is gekoppeld aan CVE-2026-43284 en CVE-2026-43500. De eerste beïnvloedt ESP-gerelateerde kernelpaden, terwijl de tweede RxRPC beïnvloedt.
Kan Dirty Frag op afstand worden misbruikt?
Dirty Frag is op zichzelf geen exploit op afstand. Een aanvaller moet eerst lokale code uitvoeren via een gecompromitteerd account, webshell, SSH-toegang, containerworkload of een ander steunpunt.
Zijn er patches beschikbaar?
De beschikbaarheid van patches is afhankelijk van de Linux-distributie en het kernelpakket. Beheerders moeten de adviezen van leveranciers controleren en de nieuwste kernelupdates installeren die voor hun systemen zijn uitgebracht.