Dirty Frag — нещодавно виявлена вразливість ядра Linuxланцюг, який може дозволити локальному непривілейованому користувачеві отримати root-доступ до уражених систем. Проблема стосується мережевих компонентів ядра, пов’язаних з ESP і RxRPC, і публічна перевірка концепції вже підвищила терміновість для адміністраторів.
Дві вади відстежуються як CVE-2026-43284 і CVE-2026-43500. Їх можна зв’язати, щоб підробити дані кешу сторінок і перейти від низькорівневого доступу до повного контролю системи.
Сама по собі це не дистанційна атака. Зловмиснику спочатку потрібен локальний доступ, наприклад зламаний обліковий запис користувача, веб-оболонка, доступ SSH або робоче навантаження контейнера, яке може виконувати код на хості. Як тільки ця точка опори існує, Dirty Frag може збільшити шкоду, надавши зловмисникові привілеї root.
Dirty Frag — це локальна проблема ескалації привілеїв Linux, яку виявив і повідомив дослідник безпеки Хюнву Кім. Клас уразливості працює, об’єднуючи в ланцюжок дві окремі помилки запису кешу сторінок у ядрі Linux.
Перша помилка впливає на підтримку ESP, яку використовує IPsec, і відстежується як CVE-2026-43284. Другий впливає на RxRPC і відстежується як CVE-2026-43500.
Назва має drawn порівняння з попередніми помилками кешу сторінок Linuxтакі як Dirty Pipe і Copy Fail. Подібність має значення, оскільки ці помилки можуть змінити те, що система читає із захищених файлів у пам’яті, навіть якщо зловмисник не повинен мати дозволу на запис до цих файлів.
З першого погляду
| Пункт | Подробиці |
|---|---|
| Назва вразливості | Брудний фрагмент |
| Ідентифікатори CVE | CVE-2026-43284 і CVE-2026-43500 |
| Тип уразливості | Підвищення локальних привілеїв Linux |
| Основний вплив | Локальний зловмисник може отримати root-права |
| Уражені ділянки | ESP, пов’язані з IPsec модулі та RxRPC |
| Статус експлойту | Повідомлено про публічну перевірку концепції |
Чому недолік серйозний
Dirty Frag має значення, оскільки недоліки локальної ескалації привілеїв часто з’являються після того, як зловмисник уже має обмежений плацдарм. Завдяки кореневому доступу зловмисник може вимкнути інструменти безпеки, викрасти облікові дані, змінити журнали, інсталювати постійні дані та проникнути глибше в середовище.
У Microsoft заявили, що Dirty Frag можна використовувати після початкового зламу через доступ через SSH, виконання веб-оболонки, сценарії виходу з контейнера або зламаний обліковий запис з низьким рівнем доступу. Компанія також повідомила, що постраждалі середовища можуть включати розгортання Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE та OpenShift.
Корпорація Майкрософт також повідомила про обмежену активність у дикій природі, пов’язану зі шаблонами ескалації привілеїв, які можуть бути пов’язані з Dirty Frag або Copy Fail. Це робить проблему більш актуальною, ніж суто теоретична помилка ядра.
Як працює атака на високому рівні
Ланцюжок Dirty Frag спрямований на те, як ядро Linux обробляє певні фрагменти пам’яті та дані кешу сторінок. За відповідних умов зловмисник може зробити так, щоб дані захищеного файлу виглядали зміненими в пам’яті без безпосереднього запису у файл на диску.
CVE-2026-43284 впливає на шляхи ESP, які використовуються IPsec.Ubuntu описує проблемуяк випадок, коли спільні фрагменти skb можна змінити без попереднього створення приватної копії.
CVE-2026-43500 впливає на RxRPC. Якщо це пов’язано з проблемою ESP, це може збільшити кількість систем, у яких може працювати шлях ескалації привілеїв.
Уражені системи
Ubuntu каже, що уразливості були оприлюднені 7 травня 2026 року та впливають на модулі ядра Linux. Його керівництво перераховує кількаУражені випуски Ubuntud, включаючи 14,04 LTS, 16,04 LTS, 18,04 LTS, 20,04 LTS, 22,04 LTS, 24,04 LTS, 25,10 і 26,04 LTS.
Red Hat також опублікував бюлетень безпеки для Dirty Frag і сказав, що користувач з локальним обліковим записом може викликати недоліки, щоб отримати привілеї root. Red Hat називає проблему Copy Fail 2 через її схожість із попередньою уразливістю Copy Fail.
Команди безпеки не повинні вважати, що важливі лише сервери, що виходять в Інтернет. Також може знадобитися перевірка робочих станцій розробників, засобів запуску CI, контейнерів, робочих столів Linux, внутрішніх серверів, робочих навантажень у хмарі та середовищ у стилі WSL.
Статус виправлення та пом’якшення
Адміністратори повинні застосовувати оновлення ядра, що надаються постачальником, щойно вони стануть доступними для їх дистрибутива та пакета ядра. Час виправлення може відрізнятися залежно від постачальника, версії ядра, рівня підтримки та хмарного образу.
Microsoft оголосила про виправлення ядра Linux для CVE-2026-43284були випущені 8 травня 2026 р. У ньому також сказано, що на той час CVE-2026-43500 у деяких місцях все ще очікує на розгляд.
Ubuntu рекомендує тимчасове пом’якшення, яке блокує завантаження постраждалих модулів і вивантажує їх, якщо вони вже активні. Це може зменшити ризик, але може зламати системи, які покладаються на IPsec, StrongSwan, AFS або інше навантаження на основі RxRPC.
Що повинні перевірити адміністратори
- Визначте хости Linux, які дозволяють локальним користувачам або робочим навантаженням контейнерів.
- Перевірте, чи завантажено уражені модулі ESP і RxRPC.
- Ознайомтеся з порадами постачальників щодо точного пакета ядра, що використовується в кожній системі.
- Застосовуйте оновлення ядра, коли їх випускає ваш дистрибутив.
- Розгляньте можливість тимчасового блокування модуля лише після перевірки залежностей IPsec і RxRPC.
- Перегляньте останні сповіщення про підвищення привілеїв і підозрілу активність на кореневому рівні.
- Перевірте цілісність конфіденційних файлів, якщо є підозра на використання.
Чому контейнерне середовище потребує уваги
Контейнерні середовища заслуговують на особливу увагу, оскільки локальні помилки ескалації привілеїв іноді можуть допомогти зловмисникам перейти від обмеженого робочого навантаження до більш потужної позиції на хості.
Ubuntu каже, що розгортання, які запускають довільні сторонні навантаження, можуть зіткнутися з додатковим ризиком виходу з контейнера, хоча публічне підтвердження концепції виходу з контейнера не було опубліковано в її керівництві.
Це робить Dirty Frag особливо важливим для хостинг-провайдерів, платформ CI, спільних систем розробки, хмарних серверів і середовищ, які виконують ненадійні робочі навантаження.
Що відрізняє Dirty Frag
Dirty Frag не покладається на крихку гонку часу, як це роблять багато старіших експлойтів ядра. Звіти описують його як більш надійний, ніж традиційні методи підвищення привілеїв за умови змагання.
Ця надійність підвищує ризик після того, як зловмисники отримають початковий доступ. Оболонка з низьким рівнем привілей, яка інакше могла б мати обмежену цінність, може стати шляхом до повного кореневого контролю.
Публічне підтвердження концепції також змінює часову шкалу. Захисники повинні розглядати проблему як те, що зловмисники можуть швидко перевірити, особливо в системах, які відстають від оновлень ядра.
Резюме
- Dirty Frag — це локальний ланцюжок уразливості ескалації привілеїв Linux.
- Дві вади відстежуються як CVE-2026-43284 і CVE-2026-43500.
- Зловмиснику спочатку потрібно виконати локальний код, але ланцюжок може призвести до кореневого доступу.
- Ubuntu, Red Hat, Fedora, AlmaLinux, CentOS Stream, openSUSE та пов’язані середовища можуть потребувати перегляду.
- Адміністратори повинні застосувати оновлення ядра та розглянути рекомендовані постачальником засоби пом’якшення, якщо виправлення ще не доступні.
FAQ
Що таке Dirty Frag?
Dirty Frag — це ланцюжок уразливостей ядра Linux, що дозволяє локальному зловмиснику отримати права root на уражених системах.
Які CVE пов’язані з Dirty Frag?
Dirty Frag пов’язано з CVE-2026-43284 і CVE-2026-43500. Перший впливає на шляхи ядра, пов’язані з ESP, тоді як другий впливає на RxRPC.
Чи можна використовувати Dirty Frag віддалено?
Dirty Frag сам по собі не є віддаленим експлойтом. Зловмиснику спочатку потрібно виконати локальний код через скомпрометований обліковий запис, веб-оболонку, доступ через SSH, робоче навантаження контейнера чи інший плацдарм.
Чи доступні патчі?
Доступність виправлення залежить від дистрибутива Linux і пакета ядра. Адміністратори повинні перевірити рекомендації постачальників і встановити останні оновлення ядра, випущені для своїх систем.