Dirty Frag, Copy Fail, Fragnesia: Τρία κρίσιμα κενά ασφαλείας στον πυρήνα Linux που ανακαλύφθηκαν με AI — και αυτό δεν είναι τυχαίο

Ο πυρήνας Linux αντιμετωπίζει διαδοχικά κενά ασφαλείας κλιμάκωσης δικαιωμάτων: ξεκινώντας με το Copy Fail και ακολουθώντας με το Dirty Frag και το Fragnesia. Τα τρία αυτά κενά δεν είναι τυχαία σύμπτωση — όλα ανακαλύφθηκαν με τη βοήθεια μεγάλων γλωσσικών μοντέλων (LLM) και δημοσιοποιήθηκαν σχεδόν αμέσως μετά την ανακάλυψή τους.

Τι είναι το Copy Fail, το Dirty Frag και το Fragnesia

Και τα τρία κενά ασφαλείας αφορούν τη λειτουργία zero-copy του πυρήνα Linux και φέρουν τα CVE-2026-31431 (Copy Fail), CVE-2026-43284 και CVE-2026-43500 (Dirty Frag) και CVE-2026-46300 (Fragnesia).

Το Copy Fail είναι κενό ασφαλείας στο algif_aead crypto API του πυρήνα Linux — το API που παρέχει διεπαφή socket για authenticated encryption — και εισήχθη στον πυρήνα 4.14 το 2017. Στις 29 Απριλίου 2026, ερευνητές της Xint Code ανακοίνωσαν το Copy Fail μαζί με δημόσιο proof-of-concept (PoC) exploit.

Μία εβδομάδα αργότερα, ο ερευνητής Hyunwoo Kim αποκάλυψε ένα δεύτερο κενό κλιμάκωσης δικαιωμάτων στον πυρήνα Linux, στις ίδιες περιοχές κώδικα — IPsec ESP και rxrpc — και το ονόμασε Dirty Frag. Δημόσιο PoC exploit υπάρχει από την πρώτη μέρα: οποιοσδήποτε τοπικός χρήστης χωρίς δικαιώματα μπορεί να το χρησιμοποιήσει για να αποκτήσει root με μια εντολή.

Στις 13 Μαΐου, ο William Bowling της ομάδας V12 security ανακοίνωσε το Fragnesia και PoC exploit, που επίσης οδηγεί σε άμεση πρόσβαση root. Σύμφωνα με τον Kim, το Fragnesia «ενεργοποιήθηκε κατά λάθος» από το patch που διόρθωσε το CVE-2026-43284 του Dirty Frag — και ανακαλύφθηκε από τον Bowling με τη βοήθεια AI εργαλείου αυτόματης ανάλυσης κώδικα της Zellic.io.

Ο κοινός παρονομαστής: η κρυφή μνήμη σελίδων

Και τα τρία κενά ανήκουν στην ίδια κατηγορία σφαλμάτων που σχετίζεται με διαφθορά της κρυφής μνήμης σελίδων (page cache) και της λειτουργίας zero-copy. Εκμεταλλεύονται εντολές του πυρήνα που χειρίζονται μνήμη — όπως splice, vmsplice και παρεμφερείς μηχανισμοί — για να τροποποιούν τα περιεχόμενα αρχείων στη μνήμη RAM χωρίς να αλλάζει το ίδιο το αρχείο στον δίσκο.

Ο Kim εξηγεί το πρόβλημα: στο zero-copy send path, το splice() τοποθετεί αναφορά σε μια σελίδα της κρυφής μνήμης που ο επιτιθέμενος έχει μόνο δικαίωμα ανάγνωσης. Ο πυρήνας στη συνέχεια εκτελεί κρυπτογράφηση in-place σε αυτή τη σελίδα, με αποτέλεσμα να τροποποιεί στη μνήμη αρχεία όπως το /etc/passwd ή το /usr/bin/su — και κάθε επόμενη ανάγνωση βλέπει την αλλαγμένη εκδοχή.

Σύμφωνα με τη Microsoft, το Dirty Frag «εισάγει πολλαπλές διαδρομές επίθεσης μέσω των στοιχείων rxrpc και esp/xfrm για να βελτιώσει την αξιοπιστία της εκμετάλλευσης» και φαίνεται σχεδιασμένο να επιτυγχάνει σταθερά αποτελέσματα αντί να στηρίζεται σε στενά χρονικά παράθυρα ή ασταθείς συνθήκες.

Ποια συστήματα κινδυνεύουν

Τα επηρεαζόμενα περιβάλλοντα περιλαμβάνουν Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE και OpenShift. Παρότι τα κενά απαιτούν ο επιτιθέμενος να έχει ήδη κάποια πρόσβαση στο σύστημα και δεν επιτρέπουν απομακρυσμένη εκτέλεση κώδικα, είναι εξαιρετικά εύκολα στην εκμετάλλευση — ο επιτιθέμενος μπορεί να χρησιμοποιήσει Python με την τυπική βιβλιοθήκη και να αποκτήσει πρόσβαση root.

Το Dirty Frag μπορεί να αξιοποιηθεί μετά από αρχική παραβίαση μέσω SSH, εκτέλεση web shell, container escape ή παραβίαση λογαριασμού με χαμηλά δικαιώματα. Σε συστήματα χωρίς container, επιτρέπει σε τοπικό χρήστη να ανελιχθεί σε root· σε περιβάλλοντα container που εκτελούν arbitrary φορτία εργασίας τρίτων, μπορεί επιπλέον να διευκολύνει container escape.

Το Fragnesia — όπως και τα Copy Fail και Dirty Frag — αποτελεί μικρότερο κίνδυνο για σταθμούς εργασίας μεμονωμένου χρήστη ή μονόχρηστους servers, σε σύγκριση με κοινόχρηστους Linux hosts (όπου πολλοί χρήστες μοιράζονται τον πυρήνα), συστάδες container, CI runners και φαρμ παραγωγής, και λύσεις SaaS που εκτελούν κώδικα χρηστών.

Η κατάσταση με τα patches

Η Linux Kernel Organization κυκλοφόρησε patches για το CVE-2026-43284 στις 8 Μαΐου 2026. Το Dirty Frag, όπως και το Copy Fail πριν από αυτό, δίνει άμεσα πρόσβαση root σε όλες τις μεγάλες διανομές. Ο εμπαργκοτερματισμός υπεύθυνης αποκάλυψης παραβιάστηκε πριν οι διανομές προλάβουν να συντονιστούν, με αποτέλεσμα exploit να κυκλοφορεί δημόσια.

Το Copy Fail έχει ήδη καταχωριστεί στον κατάλογο Γνωστά Εκμεταλλευόμενων Ευπαθειών (Known Exploited Vulnerabilities) της Αμερικανικής Υπηρεσίας Κυβερνοασφάλειας (CISA). Μια νέα παραλλαγή, ονομαζόμενη DirtyDecrypt (ή DirtyCBC), έχει ήδη διορθωθεί στον πυρήνα Linux, με τους ερευνητές να δημοσιεύουν PoC exploit.

Ως προσωρινά μέτρα: για το Copy Fail, η απενεργοποίηση του algif_aead μειώνει την έκθεση· για το Dirty Frag και το Fragnesia, η απενεργοποίηση των esp4, esp6 και rxrpc βοηθά, αλλά τα μέτρα αυτά μπορεί να επηρεάσουν περιβάλλοντα που βασίζονται σε IPsec/VPN και RxRPC/AFS. Προειδοποίηση: η απενεργοποίηση unprivileged user namespaces μπορεί επίσης να επηρεάσει rootless containers, sandboxed browsers και Flatpak.

Το AI ως εργαλείο ανίχνευσης — και η νέα πραγματικότητα

Η εξέλιξη αυτή εντάσσεται σε μια γενικότερη τάση όπου τα κενά ασφαλείας βρίσκονται και δημοσιοποιούνται γρηγορότερα από ποτέ — και οι ειδικοί αναμένουν ότι αυτό θα συνεχιστεί, τουλάχιστον βραχυπρόθεσμα. Το ερώτημα που τίθεται στη συζήτηση της κοινότητας ασφαλείας είναι διπλό: αφενός, τα AI εργαλεία επιταχύνουν την ανεύρεση κενών που υπήρχαν χρόνια στον κώδικα· αφετέρου, ο ίδιος μηχανισμός είναι διαθέσιμος σε κακόβουλους χρήστες.

Επειδή η εκμετάλλευση απαιτεί προηγούμενη πρόσβαση στο σύστημα, οι αμυντικές ομάδες πρέπει να αντιμετωπίζουν αυτά τα κενά ως «επιταχυντές κλιμάκωσης δικαιωμάτων» και όχι ως σημεία αρχικής εισβολής. Οι ομάδες kernel και distribution kernel του Gentoo Linux κάνουν ό,τι μπορούν για να διατηρήσουν τους πυρήνες ασφαλείς, ανεβάζοντας νέες εκδόσεις το συντομότερο δυνατό και οπισθοχωρώντας επιπλέον διορθώσεις όποτε αυτές γίνονται διαθέσιμες.

Πηγές

• The Register — Dirty Frag, Copy Fail, Fragnesia: The start of a worrisome Linux security trend
• Microsoft Security Blog — Active attack: Dirty Frag Linux vulnerability
• Red Hat Security Bulletin — RHSB-2026-003 (CVE-2026-43284, CVE-2026-43500, CVE-2026-46300)
• Huntress — Panic at the Distro: CopyFail, Dirty Frag, Fragnesia
• Help Net Security — Fragnesia: New Linux kernel LPE bug (CVE-2026-46300)
• AlmaLinux Blog — Dirty Frag (CVE-2026-43284, CVE-2026-43500) Patches Released
• Gentoo Linux — Copy Fail, Dirty Frag, and Fragnesia kernel vulnerabilities
• The Hacker News — Linux Kernel Dirty Frag LPE Exploit Enables Root Access