Dirty Frag er et nylig avslørt Linux-kjernesårbarhetkjede som kan la en lokal, uprivilegert bruker få root-tilgang på berørte systemer. Problemet påvirker kjernenettverkskomponenter knyttet til ESP og RxRPC, og offentlig proof-of-concept-aktivitet har allerede økt behovet for administratorer.
De to feilene spores som CVE-2026-43284 og CVE-2026-43500. De kan lenkes for å tukle med sidebufferdata og flytte fra lavnivåtilgang til full systemkontroll.
Dette er ikke et eksternt angrep i seg selv. En angriper trenger lokal tilgang først, for eksempel en kompromittert brukerkonto, web-shell, SSH-tilgang eller en beholderarbeidsbelastning som kan kjøre kode på verten. Når det fotfestet først eksisterer, kan Dirty Frag øke skaden ved å gi angriperen root-privilegier.
Hva Dirty Frag er
Dirty Frag er et problem med eskalering av lokale Linux-privilegier oppdaget og rapportert av sikkerhetsforsker Hyunwoo Kim. Sårbarhetsklassen fungerer ved å lenke to separate side-cache-skrivefeil i Linux-kjernen.
Den første feilen påvirker ESP-støtten som brukes av IPsec og spores som CVE-2026-43284. Den andre påvirker RxRPC og spores som CVE-2026-43500.
Navnet har drå sammenligninger med tidligere Linux page-cache bugssom Dirty Pipe og Copy Fail. Likheten er viktig fordi disse feilene kan endre hva systemet leser fra beskyttede filer i minnet, selv når angriperen ikke skal ha skrivetillatelse til disse filene.
Med et blikk
| Punkt | Detaljer |
|---|---|
| Sårbarhetsnavn | Dirty Frag |
| CVE IDer | CVE-2026-43284 og CVE-2026-43500 |
| Sårbarhetstype | Opptrapping av lokale Linux-privilegier |
| Hovedpåvirkning | Lokal angriper kan få root-privilegier |
| Berørte områder | ESP, IPsec-relaterte moduler og RxRPC |
| Utnyttelsesstatus | Offentlig proof-of-concept aktivitet rapportert |
Hvorfor feilen er alvorlig
Dirty Frag betyr noe fordi lokale privilegie-eskaleringsfeil ofte oppstår etter at en angriper allerede har et begrenset fotfeste. Med root-tilgang kan angriperen deaktivere sikkerhetsverktøy, stjele legitimasjon, endre logger, installere utholdenhet og bevege seg dypere inn i miljøet.
Microsoft sa at Dirty Frag kan brukes etter innledende kompromittering gjennom SSH-tilgang, web-shell-kjøring, containerescape-scenarier eller en kompromittert lavprivilegert konto. Selskapet sa også at berørte miljøer kan inkludere Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE og OpenShift-distribusjoner.
Microsoft rapporterte også begrenset aktivitet i naturen som involverer rettighetseskaleringsmønstre som kan være relatert til Dirty Frag eller Copy Fail. Det gjør problemet mer presserende enn en rent teoretisk kjernefeil.
Hvordan angrepet fungerer på et høyt nivå
Dirty Frag-kjeden er rettet mot hvordan Linux-kjernen håndterer visse minnefragmenter og sidebufferdata. Under de rette forholdene kan en angriper få beskyttede fildata til å vises modifisert i minnet uten å skrive direkte til filen på disken.
CVE-2026-43284 påvirker ESP-baner som brukes av IPsec.Ubuntu beskriver problemetsom et tilfelle der delte skb-fragmenter kunne endres uten først å lage en privat kopi.
CVE-2026-43500 påvirker RxRPC. Når den er lenket med ESP-problemet, kan den utvide antallet systemer der rettighetseskaleringsbanen kan fungere.
Berørte systemer
Ubuntu sier at sårbarhetene ble offentliggjort 7. mai 2026 og påvirker Linux-kjernemoduler. Dens veiledning viser flereUbuntu utgis som berørtd, inkludert 14,04 LTS, 16,04 LTS, 18,04 LTS, 20,04 LTS, 22,04 LTS, 24,04 LTS, 25,10 og 26,04 LTS.
Red Hat publiserte også en sikkerhetsbulletin for Dirty Frag og sa at en bruker med en lokal konto kunne utløse feilene for å få root-privilegier. Red Hat refererer til problemet som Copy Fail 2 på grunn av dets likhet med det tidligere Copy Fail-sårbarheten.
Sikkerhetsteam bør ikke anta at bare internettvendte servere betyr noe. Utviklerarbeidsstasjoner, CI-løpere, containere, Linux-stasjonære datamaskiner, interne servere, skyarbeidsbelastninger og WSL-stil miljøer kan også trenge gjennomgang.
Patch-status og reduksjon
Administratorer bør bruke leverandørleverte kjerneoppdateringer så snart de blir tilgjengelige for deres distribusjon og kjernepakke. Patch-timing kan variere etter leverandør, kjernesmak, støttenivå og skybilde.
Microsoft sa Linux-kjerneoppdateringer for CVE-2026-43284ble utgitt 8. mai 2026. Den sa også at CVE-2026-43500 fortsatt var under behandling noen steder på den tiden.
Ubuntu anbefaler en midlertidig reduksjon som blokkerer de berørte modulene fra å laste og losser dem hvis de allerede er aktive. Dette kan redusere eksponeringen, men det kan ødelegge systemer som er avhengige av IPsec, StrongSwan, AFS eller en annen RxRPC-basert arbeidsbelastning.
Hva administratorer bør sjekke
- Identifiser Linux-verter som tillater lokale brukere eller containerarbeidsbelastninger.
- Sjekk om berørte ESP- og RxRPC-moduler er lastet.
- Gjennomgå leverandørråd for den eksakte kjernepakken som brukes på hvert system.
- Bruk kjerneoppdateringer når distribusjonen din slipper dem.
- Vurder midlertidig modulblokkering først etter å ha kontrollert IPsec- og RxRPC-avhengigheter.
- Gjennomgå nylige rettighetseskaleringsvarsler og mistenkelig aktivitet på rotnivå.
- Valider integriteten til sensitive filer hvis det er mistanke om utnyttelse.
Hvorfor containermiljøer trenger oppmerksomhet
Containermiljøer fortjener ekstra oppmerksomhet fordi lokale rettighetseskaleringsfeil noen ganger kan hjelpe angripere med å flytte fra en begrenset arbeidsmengde til en kraftigere posisjon på verten.
Ubuntu sier at utplasseringer som kjører vilkårlige tredjeparts arbeidsbelastninger kan stå overfor ytterligere containerfluktrisiko, selv om et offentlig proof-of-concept for containerescape ikke ble publisert i veiledningen.
Dette gjør Dirty Frag spesielt viktig for vertsleverandører, CI-plattformer, delte utviklingssystemer, skyservere og miljøer som kjører upålitelige arbeidsbelastninger.
Hva gjør Dirty Frag annerledes
Dirty Frag er ikke avhengig av et skjørt timing-løp på samme måte som mange eldre kjerneutnyttelser gjør. Rapporter beskriver det som mer pålitelig enn tradisjonelle teknikker for opptrapping av privilegier i rasetilstand.
Denne påliteligheten øker risikoen etter at angripere får første tilgang. Et lavprivilegert skall som ellers kan ha begrenset verdi, kan bli en vei til full rotkontroll.
Den offentlige proof-of-concept endrer også tidslinjen. Forsvarere bør behandle problemet som noe angripere kan teste raskt, spesielt på systemer som henger etter på kjerneoppdateringer.
Sammendrag
- Dirty Frag er en Linux-sårbarhetskjede for lokal privilegieeskalering.
- De to feilene spores som CVE-2026-43284 og CVE-2026-43500.
- En angriper trenger kjøring av lokal kode først, men kjeden kan føre til root-tilgang.
- Ubuntu, Red Hat, Fedora, AlmaLinux, CentOS Stream, openSUSE og relaterte miljøer kan trenge gjennomgang.
- Administratorer bør bruke kjerneoppdateringer og vurdere leverandøranbefalte korrigeringer der patcher ennå ikke er tilgjengelige.
FAQ
Hva er Dirty Frag?
Dirty Frag er en sårbarhetskjede for eskalering av lokale privilegier i Linux-kjerne som kan la en lokal angriper få root-privilegier på berørte systemer.
Hvilke CVE-er er knyttet til Dirty Frag?
Dirty Frag er knyttet til CVE-2026-43284 og CVE-2026-43500. Den første påvirker ESP-relaterte kjernebaner, mens den andre påvirker RxRPC.
Kan Dirty Frag utnyttes eksternt?
Dirty Frag er ikke en ekstern utnyttelse i seg selv. En angriper trenger først kjøring av lokal kode gjennom en kompromittert konto, web-shell, SSH-tilgang, beholderarbeidsbelastning eller et annet fotfeste.
Er patcher tilgjengelige?
Tilgjengelighet av patch avhenger av Linux-distribusjonen og kjernepakken. Administratorer bør sjekke leverandørråd og installere de siste kjerneoppdateringene som er utgitt for systemene deres.