Dirty Frag: Κρίσιμο exploit δίνει root access σε σχεδόν κάθε Linux σύστημα από το 2017 — χωρίς patch

Μία εβδομάδα μετά την ευπάθεια Copy Fail, δημοσιοποιήθηκε ένα νέο Linux local privilege escalation bug. Αυτή τη φορά δεν υπάρχουν patches ούτε CVEs για το «Dirty Frag», καθώς το embargo έσπασε πρόωρα και ο ερευνητής ασφαλείας αναγκάστηκε να προχωρήσει σε πρόωρη πλήρη αποκάλυψη. Συγκεκριμένα, ένα άσχετο τρίτο μέρος δημοσίευσε δημόσια τον κώδικα εκμετάλλευσης του ESP exploit στις 7 Μαΐου 2026, σπάζοντας το embargo.

Τι είναι το Dirty Frag και πώς λειτουργεί

Το Dirty Frag είναι ένα CVE-pending Linux kernel local privilege escalation (LPE) vulnerability που αλυσοδένει δύο ξεχωριστά page-cache write flaws — το xfrm-ESP Page-Cache Write και το RxRPC Page-Cache Write — για να επιτύχει root access σε σχεδόν όλες τις μεγάλες Linux διανομές, με δημόσιο exploit ήδη στη φύση.

Ανακαλύφθηκε και αναφέρθηκε από τον ερευνητή ασφαλείας Hyunwoo Kim (@v4bel). Η ευπάθεια εκμεταλλεύεται το zero-copy send path όπου το splice() φυτεύει μια αναφορά σε μια read-only page cache σελίδα — όπως το /etc/passwd ή το /usr/bin/su — μέσα στο frag slot ενός sender-side skb. Ο κώδικας από την πλευρά του receiver kernel εκτελεί τότε cryptographic operations απευθείας πάνω σε αυτό το frag, τροποποιώντας μόνιμα το page cache στη RAM.

Σε αντίθεση με race-condition exploits, το Dirty Frag είναι ένα ντετερμινιστικό logic bug που δεν απαιτεί κανένα timing window, δεν προκαλεί kernel panic σε περίπτωση αποτυχίας, και έχει εξαιρετικά υψηλό ποσοστό επιτυχίας. Ένα working public proof-of-concept υπάρχει ήδη· οποιοσδήποτε απροστάτευτος τοπικός χρήστης μπορεί να το χρησιμοποιήσει για να αποκτήσει root με ένα μόνο command.

Δύο ευπάθειες, μία αλυσίδα, εννέα χρόνια έκθεση

Το flaw αλυσοδένει δύο ανεξάρτητες kernel ευπάθειες: το xfrm-ESP Page-Cache Write, που βρίσκεται στο IPsec/ESP networking stack (esp_input()), παρόν από το kernel commit cac2661c53f3 τον Ιανουάριο του 2017. Το RxRPC flaw υπάρχει από το commit 2dc334f1a63a (Ιούνιος 2023), δίνοντας στην αλυσίδα ένα αποτελεσματικό παράθυρο περίπου 9 ετών.

«Σημειώστε ότι το Dirty Frag μπορεί να ενεργοποιηθεί ανεξάρτητα από το αν το module algif_aead είναι διαθέσιμο», δήλωσε ο ερευνητής. «Με άλλα λόγια, ακόμα και σε συστήματα όπου έχει εφαρμοστεί το γνωστό Copy Fail mitigation (algif_aead blacklist), το Linux σας παραμένει ευάλωτο στο Dirty Frag.»

Το exploit δοκιμάζει πρώτα το ESP path· αν το unshare(CLONE_NEWUSER) αποτύχει, κάνει αυτόματα fallback στο RxRPC path που στοχεύει το /etc/passwd. Εκτελώντας και τα δύο exploits σε σειρά και αφήνοντας το καθένα να καλύψει το τυφλό σημείο του άλλου, ένα μόνο binary επιτυγχάνει root σε Ubuntu, RHEL, Fedora, CentOS Stream, AlmaLinux και openSUSE Tumbleweed.

Ποια συστήματα επηρεάζονται

Επιτυχής εκμετάλλευση της ευπάθειας επιτρέπει σε έναν unprivileged τοπικό χρήστη να αποκτήσει elevated root access σε μεγάλες Linux διανομές, συμπεριλαμβανομένων των Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 και Fedora 44. Ακόμα και ο mainline Linux kernel δεν φαίνεται να έχει patches, καθώς κολέγας επιβεβαίωσε επιτυχή εκτέλεση του exploit σε CachyOS machine που τρέχει kernel 7.0.3-1-cachyos, καθώς και σε updated Arch box.

Ο Kim είχε υποβάλει το rxrpc patch στο netdev mailing list στις 29 Απριλίου 2026. Το linux-distros embargo είχε οριστεί για τις 12 Μαΐου. Ένα άσχετο τρίτο μέρος δημοσίευσε δημόσια τον κώδικα εκμετάλλευσης του ESP exploit στις 7 Μαΐου, σπάζοντας το embargo και πυροδοτώντας άμεση πλήρη αποκάλυψη.

Προσωρινή αντιμετώπιση — τώρα

Δεν έχουν ακόμη εκχωρηθεί CVE identifiers για κανένα από τα δύο flaws, λόγω της πρόωρης διάρρηξης του embargo από άσχετο τρίτο μέρος στις 7 Μαΐου 2026. Η AlmaLinux είναι από τις πρώτες διανομές που έχουν κυκλοφορήσει πρώιμα patches για δοκιμή.

Λόγω της επείγουσας κατάστασης και της ύπαρξης working PoC, μέχρι να γίνουν διαθέσιμα τα patches, συνιστάται να προστεθούν στη μαύρη λίστα τα modules esp4, esp6 και rxrpc ώστε να μην μπορούν να φορτωθούν:

sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Τα modules αυτά σχετίζονται σε διάφορους βαθμούς με το IPSec networking και είναι απίθανο να χρησιμοποιούνται εκτός αν το μηχάνημα είναι IPSec client ή server. Για συστήματα Ubuntu, το AppArmor καλύπτει εν μέρει αυτή την τρύπα, οπότε το PoC αλυσοδένει ένα δεύτερο exploit, «RxRPC Page-Cache Write», που προστέθηκε στο commit 2dc334f1a63a.

Το exploit μπορεί να τροποποιήσει νόμιμα system binaries στο page-cache ως μέρος της απόκτησης root, οπότε η εφαρμογή του mitigation μόνο δεν αρκεί σε συστήματα που ενδέχεται να έχουν ήδη γίνει στόχος. Μετά την εφαρμογή του mitigation, συνιστάται να γίνει drop του page-cache.

Η Red Hat κατατάσσει τη σοβαρότητα ως «Important». Παρόλο που η σοβαρότητα είναι κάτω από Critical, η Red Hat επιταχύνει την κυκλοφορία fixes.

Πηγές

• Tom's Hardware — Dirty Frag exploit gets root on most Linux machines since 2017
• The Hacker News — Linux Kernel Dirty Frag LPE Exploit Enables Root Access
• Phoronix — Dirty Frag Vulnerability Made Public Early
• Cyber Kendra — Dirty Frag: No Patch, No Warning, Root Access
• AlmaLinux Blog — Dirty Frag vulnerability fix is ready for testing
• Red Hat Customer Portal — RHSB-2026-003 Dirty Frag
• CloudLinux Blog — Dirty Frag Mitigation and Kernel Update
• CyberSecurityNews — Dirty Frag Linux Vulnerability Technical Analysis