Dirty Frag é uma vulnerabilidade do kernel Linux recentemente divulgadacadeia que pode permitir que um usuário local sem privilégios obtenha acesso root nos sistemas afetados. O problema afeta os componentes de rede do kernel vinculados ao ESP e RxRPC, e a atividade pública de prova de conceito já aumentou a urgência para os administradores.
As duas falhas são rastreadas como CVE-2026-43284 e CVE-2026-43500. Eles podem ser encadeados para adulterar os dados do cache da página e passar do acesso de baixo nível para o controle total do sistema.
Este não é um ataque remoto por si só. Um invasor precisa primeiro de acesso local, como uma conta de usuário comprometida, web shell, acesso SSH ou uma carga de trabalho de contêiner que possa executar código no host. Uma vez que essa posição exista, Dirty Frag pode aumentar o dano, dando ao invasor privilégios de root.
Dirty Frag é um problema de escalonamento de privilégios locais do Linux descoberto e relatado pelo pesquisador de segurança Hyunwoo Kim. A classe de vulnerabilidade funciona encadeando duas falhas de gravação de cache de página separadas no kernel do Linux.
A primeira falha afeta o suporte ESP usado pelo IPsec e é rastreada como CVE-2026-43284. O segundo afeta o RxRPC e é rastreado como CVE-2026-43500.
O nome tem dcomparações brutas com bugs anteriores de cache de página do Linuxcomo Dirty Pipe e Copy Fail. A semelhança é importante porque esses bugs podem alterar o que o sistema lê dos arquivos protegidos na memória, mesmo quando o invasor não deveria ter permissão de gravação nesses arquivos.
De relance
| Item | Detalhes |
|---|---|
| Nome da vulnerabilidade | Fragmento Sujo |
| IDs de CVE | CVE-2026-43284 e CVE-2026-43500 |
| Tipo de vulnerabilidade | Escalonamento de privilégios locais do Linux |
| Impacto principal | O invasor local pode obter privilégios de root |
| Áreas afetadas | ESP, módulos relacionados a IPsec e RxRPC |
| Status de exploração | Atividade pública de prova de conceito relatada |
Por que a falha é séria
O Dirty Frag é importante porque as falhas de escalonamento de privilégios locais geralmente aparecem depois que um invasor já tem uma posição limitada. Com acesso root, o invasor pode desabilitar ferramentas de segurança, roubar credenciais, alterar logs, instalar persistência e se aprofundar no ambiente.
A Microsoft disse que o Dirty Frag pode ser usado após o comprometimento inicial por meio de acesso SSH, execução de web shell, cenários de escape de contêiner ou uma conta comprometida com poucos privilégios. A empresa também disse que os ambientes afetados podem incluir implantações Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE e OpenShift.
A Microsoft também relatou atividade limitada envolvendo padrões de escalonamento de privilégios que podem estar relacionados a Dirty Frag ou Copy Fail. Isso torna a questão mais urgente do que um bug puramente teórico do kernel.
Como o ataque funciona em alto nível
A cadeia Dirty Frag visa como o kernel do Linux lida com certos fragmentos de memória e dados de cache de página. Nas condições certas, um invasor pode fazer com que os dados protegidos do arquivo pareçam modificados na memória sem gravar diretamente no arquivo no disco.
CVE-2026-43284 afeta caminhos ESP usados pelo IPsec.Ubuntu descreve o problemacomo um caso em que fragmentos skb compartilhados poderiam ser modificados sem primeiro fazer uma cópia privada.
CVE-2026-43500 afeta RxRPC. Quando encadeado com o problema do ESP, pode expandir o número de sistemas onde o caminho de escalonamento de privilégios pode funcionar.
Sistemas afetados
O Ubuntu diz que as vulnerabilidades foram divulgadas publicamente em 7 de maio de 2026 e afetam os módulos do kernel Linux. Sua orientação lista váriosLançamentos do Ubuntu afetadosd, incluindo 14,04 LTS, 16,04 LTS, 18,04 LTS, 20,04 LTS, 22,04 LTS, 24,04 LTS, 25,10 e 26,04 LTS.
A Red Hat também publicou um boletim de segurança para Dirty Frag e disse que um usuário com uma conta local poderia acionar as falhas para obter privilégios de root. A Red Hat refere-se ao problema como Copy Fail 2 devido à sua semelhança com a vulnerabilidade anterior de Copy Fail.
As equipes de segurança não devem presumir que apenas os servidores voltados para a Internet são importantes. Estações de trabalho de desenvolvedores, executores de CI, contêineres, desktops Linux, servidores internos, cargas de trabalho em nuvem e ambientes estilo WSL também podem precisar de revisão.
Status e mitigação do patch
Os administradores devem aplicar atualizações de kernel fornecidas pelo fornecedor assim que estiverem disponíveis para sua distribuição e pacote de kernel. O tempo do patch pode variar de acordo com o fornecedor, o tipo de kernel, o nível de suporte e a imagem da nuvem.
A Microsoft disse que os patches do kernel Linux para CVE-2026-43284foram divulgados em 8 de maio de 2026. Também disse que o CVE-2026-43500 ainda estava pendente em alguns lugares naquele momento.
O Ubuntu recomenda uma mitigação temporária que bloqueia o carregamento dos módulos afetados e os descarrega se já estiverem ativos. Isso pode reduzir a exposição, mas pode danificar sistemas que dependem de IPsec, StrongSwan, AFS ou outra carga de trabalho baseada em RxRPC.
O que os administradores devem verificar
- Identifique hosts Linux que permitem usuários locais ou cargas de trabalho de contêiner.
- Verifique se os módulos ESP e RxRPC afetados estão carregados.
- Revise os avisos do fornecedor para saber o pacote de kernel exato usado em cada sistema.
- Aplique atualizações do kernel quando sua distribuição as lançar.
- Considere o bloqueio temporário do módulo somente após verificar as dependências IPsec e RxRPC.
- Revise alertas recentes de escalonamento de privilégios e atividades suspeitas no nível raiz.
- Valide a integridade de arquivos confidenciais se houver suspeita de exploração.
Por que os ambientes de contêiner precisam de atenção
Os ambientes de contêiner merecem atenção extra porque bugs de escalonamento de privilégios locais às vezes podem ajudar os invasores a passar de uma carga de trabalho limitada para uma posição mais poderosa no host.
O Ubuntu diz que implantações que executam cargas de trabalho arbitrárias de terceiros podem enfrentar riscos adicionais de fuga de contêineres, embora uma prova de conceito pública para fuga de contêineres não tenha sido publicada em suas orientações.
Isso torna o Dirty Frag especialmente importante para provedores de hospedagem, plataformas de CI, sistemas de desenvolvimento compartilhados, servidores em nuvem e ambientes que executam cargas de trabalho não confiáveis.
O que torna Dirty Frag diferente
Dirty Frag não depende de uma corrida de tempo frágil da mesma forma que muitas explorações de kernel mais antigas. Os relatórios descrevem-no como mais confiável do que as técnicas tradicionais de escalonamento de privilégios de condições de corrida.
Essa confiabilidade aumenta o risco depois que os invasores obtêm acesso inicial. Um shell de baixo privilégio que de outra forma poderia ter valor limitado pode se tornar um caminho para o controle total do root.
A prova de conceito pública também altera o cronograma. Os defensores devem tratar o problema como algo que os invasores podem testar rapidamente, especialmente em sistemas que ficam para trás nas atualizações do kernel.
Resumo
- Dirty Frag é uma cadeia de vulnerabilidade de escalonamento de privilégios locais do Linux.
- As duas falhas são rastreadas como CVE-2026-43284 e CVE-2026-43500.
- Um invasor precisa primeiro da execução local do código, mas a cadeia pode levar ao acesso root.
- Ubuntu, Red Hat, Fedora, AlmaLinux, CentOS Stream, openSUSE e ambientes relacionados podem precisar de revisão.
- Os administradores devem aplicar atualizações do kernel e considerar mitigações recomendadas pelo fornecedor quando os patches ainda não estiverem disponíveis.
Perguntas frequentes
O que é Frag Sujo?
Dirty Frag é uma cadeia de vulnerabilidade de escalonamento de privilégios locais do kernel Linux que pode permitir que um invasor local obtenha privilégios de root nos sistemas afetados.
Quais CVEs estão vinculados ao Dirty Frag?
Dirty Frag está vinculado a CVE-2026-43284 e CVE-2026-43500. O primeiro afeta os caminhos do kernel relacionados ao ESP, enquanto o segundo afeta o RxRPC.
O Dirty Frag pode ser explorado remotamente?
Dirty Frag não é uma exploração remota por si só. Um invasor precisa primeiro da execução de código local por meio de uma conta comprometida, web shell, acesso SSH, carga de trabalho de contêiner ou outro ponto de apoio.
Os patches estão disponíveis?
A disponibilidade do patch depende da distribuição do Linux e do pacote do kernel. Os administradores devem verificar os avisos dos fornecedores e instalar as atualizações de kernel mais recentes lançadas para seus sistemas.