Dirty Frag: Δεύτερη σοβαρή ευπάθεια Linux σε δύο εβδομάδες

Μια εβδομάδα μετά το «Copy Fail», το Linux δέχεται νέο χτύπημα. Ο ερευνητής Hyunwoo Kim αποκάλυψε μια δεύτερη ευπάθεια κλιμάκωσης προνομίων στον πυρήνα Linux στην ίδια ευρεία περιοχή — IPsec ESP και rxrpc — και της έδωσε το όνομα Dirty Frag. Η δημόσια αποκάλυψη έγινε στις 7 Μαΐου 2026.

Τι ακριβώς είναι το Dirty Frag

Το Dirty Frag συνδυάζει δύο διακριτές ευπάθειες με ξεχωριστά CVE: το CVE-2026-43284 καλύπτει το IPsec ESP (esp4/esp6) και το CVE-2026-43500 καλύπτει το rxrpc. Το σφάλμα βρίσκεται στα μονοπάτια αποκρυπτογράφησης esp4, esp6 και rxrpc: όταν ένα socket buffer φέρει paged fragments που δεν ανήκουν αποκλειστικά στον πυρήνα (π.χ. pipe pages που συνδέονται μέσω splice/sendfile/MSG_SPLICE_PAGES), το μονοπάτι λήψης αποκρυπτογραφεί απευθείας πάνω σε αυτές τις εξωτερικά αποθηκευμένες σελίδες, εκθέτοντας ή καταστρέφοντας plaintext που κρατά ακόμα αναφορά ένας μη προνομιούχος process.

Όπως εξηγεί ο αναλυτής του SANS ISC Yee Ching Tok, το ενδιαφέρον στοιχείο είναι ότι οι δύο υπο-ευπάθειες καλύπτουν η μία τα τυφλά σημεία της άλλης: μεμονωμένα, ούτε το xfrm-ESP Page-Cache Write ούτε το RxRPC Page-Cache Write παρέχει αρκετά αξιόπιστο primitive για πλήρη root escalation. Συνδυασμένα, όμως, το chained exploit επιτυγχάνει άμεσα root στις περισσότερες διανομές.

Το CVE-2026-43284 αξιολογείται από το kernel.org CNA με βαθμολογία CVSS 3.1 ίση με 8.8 (HIGH). Το CVE-2026-43500 αξιολογείται από την Canonical με CVSS 3.1 βαθμολογία 7.8, επίσης βαρύτητας HIGH.

Το exploit είναι δημόσιο και λειτουργεί αξιόπιστα

Υπάρχει ήδη λειτουργικό δημόσιο proof-of-concept (PoC): οποιοσδήποτε μη προνομιούχος τοπικός χρήστης μπορεί να το χρησιμοποιήσει για να αποκτήσει root με μία μόνο εντολή. Το exploit χαρακτηρίζεται ως ντετερμινιστικό — λειτουργεί με τον ίδιο τρόπο κάθε φορά και σε διαφορετικές διανομές — και δεν προκαλεί crashes, καθιστώντας το ιδιαίτερα δυσανίχνευτο.

Σύμφωνα με τη Microsoft, «το Dirty Frag είναι αξιοσημείωτο διότι εισάγει πολλαπλά μονοπάτια επίθεσης στον kernel που εμπλέκουν τα στοιχεία δικτύωσης rxrpc και esp/xfrm, βελτιώνοντας την αξιοπιστία της εκμετάλλευσης». Αντί να βασίζεται σε στενά χρονικά παράθυρα ή ασταθείς συνθήκες corruption, το Dirty Frag έχει σχεδιαστεί για να αυξάνει τη συνέπειά του σε ευάλωτα περιβάλλοντα.

Η εκμετάλλευση είναι εφικτή μετά από αρχική πρόσβαση μέσω SSH, web shells, containers ή λογαριασμών χαμηλών προνομίων. Το Microsoft Defender παρακολουθεί περιορισμένη δραστηριότητα εκμετάλλευσης στην πράξη και παρέχει κάλυψη ανίχνευσης για απόπειρες εκμετάλλευσης.

Η σχέση με το Copy Fail και η σπασμένη εμπάργο

Το Dirty Frag περιγράφεται ως διάδοχος του Copy Fail (CVE-2026-31431, CVSS score: 7.8), μιας ευπάθειας κλιμάκωσης προνομίων στον Linux kernel που έχει τεθεί ήδη υπό ενεργητική εκμετάλλευση. Κρίσιμη λεπτομέρεια: «Το Dirty Frag μπορεί να ενεργοποιηθεί ανεξάρτητα από την παρουσία του module algif_aead», υποστηρίζει ο ερευνητής. «Με άλλα λόγια, ακόμα και σε συστήματα όπου έχει εφαρμοστεί η γνωστή αντιμετώπιση του Copy Fail (blacklist algif_aead), το Linux παραμένει ευάλωτο στο Dirty Frag.»

Σύμφωνα με τη δημόσια αποκάλυψη του Hyunwoo Kim στο oss-security, το εμπάργο υπεύθυνης γνωστοποίησης παραβιάστηκε από τρίτο μέρος πριν οι διανομές προλάβουν να συντονίσουν τις αποκρίσεις τους, με αποτέλεσμα να μην υπάρχουν εκχωρημένα CVE identifiers κατά τον χρόνο δημόσιας αποκάλυψης και ένα λειτουργικό exploit να κυκλοφορεί ελεύθερα.

Σύμφωνα με τον ερευνητή, η ευπάθεια xfrm-ESP Page-Cache Write εισήχθη σε commit του πηγαίου κώδικα τον Ιανουάριο του 2017, ενώ η ευπάθεια RxRPC Page-Cache Write εισήχθη τον Ιούνιο του 2023. Αυτό σημαίνει ότι το πρώτο σφάλμα βρισκόταν κρυμμένο στον πυρήνα για περίπου εννέα χρόνια.

Ποιες διανομές επηρεάζονται

Οι ευπάθειες επηρεάζουν πολλαπλές Linux διανομές, συμπεριλαμβανομένων όλων των εκδόσεων Ubuntu. Στη λίστα των επηρεαζόμενων συστημάτων περιλαμβάνονται τα Red Hat Enterprise Linux, AlmaLinux, Debian, Ubuntu, Fedora, Arch Linux, CentOS, CloudLinux, Amazon Linux, και άλλα.

Η Ubuntu διευκρινίζει ότι σε hosts που δεν εκτελούν container workloads, η ευπάθεια επιτρέπει σε τοπικό χρήστη να κλιμακώσει τα προνόμιά του σε root. Σε περιβάλλοντα με containers που εκτελούν φορτία εργασίας τρίτων, η ευπάθεια μπορεί επιπλέον να διευκολύνει σενάρια διαφυγής από container.

Patches και προσωρινές αντιμετωπίσεις

Ο Linux Kernel Organization κυκλοφόρησε patches για το CVE-2026-43284 στις 8 Μαΐου 2026. Οι patched πυρήνες κυκλοφόρησαν στα production repositories/mirrors — δεν απαιτείται πλέον ενεργοποίηση testing repo. Για τους χρήστες AlmaLinux και RHEL-based διανομών, αρκεί η εκτέλεση sudo dnf clean metadata && sudo dnf upgrade ακολουθούμενη από επανεκκίνηση.

Για συστήματα όπου η εγκατάσταση patch δεν είναι άμεσα εφικτή, προτείνεται η απενεργοποίηση των ευάλωτων modules μέσω αρχείου modprobe, ακολουθούμενη από αναδημιουργία των initramfs images για να αποτραπεί η φόρτωσή τους κατά την εκκίνηση. Εναλλακτικά, σε περιβάλλοντα όπου το IPsec πρέπει να παραμείνει λειτουργικό, η ESP παραλλαγή (CVE-2026-43284) μπορεί να αποκλειστεί απενεργοποιώντας τα unprivileged user namespaces. Ωστόσο, σε RHEL 9 και 10, η παραλλαγή rxrpc (CVE-2026-43500) παραμένει εκμεταλλεύσιμη εκτός αν γίνει blocklist και το rxrpc. Η απενεργοποίηση των unprivileged user namespaces μπορεί επίσης να επηρεάσει rootless containers, sandboxed browsers και Flatpak.

Ο αναλυτής Tok συνιστά: «Αν δεν έχετε ακόμα αντιμετωπίσει το Copy Fail (CVE-2026-31431), τώρα είναι καλή στιγμή να αντιμετωπίσετε και τις δύο ευπάθειες ως ενιαία προσπάθεια αποκατάστασης, δεδομένης της ομοιότητας και των επικαλυπτόμενων βημάτων αντιμετώπισης.»

Πηγές

• Ars Technica — Linux bitten by second severe vulnerability in as many weeks
• Ubuntu Blog — Dirty Frag Linux kernel LPE vulnerability mitigations
• AlmaLinux — Dirty Frag (CVE-2026-43284, CVE-2026-43500) Patches Released
• Microsoft Security Blog — Active attack: Dirty Frag Linux vulnerability
• The Hacker News — Linux Kernel Dirty Frag LPE Exploit
• Tenable — Dirty Frag FAQ
• Red Hat Customer Portal — RHSB-2026-003 Dirty Frag
• Help Net Security — Dirty Frag: Unpatched Linux vulnerability delivers root access