Dirty Frag: Die neue unsichtbare Bedrohung, die CopyFail auf Linux übertrifft.

Schmutziges Fragment Am 7. Mai tauchte es aus dem Nichts auf und es herrscht Chaos: ein öffentlicher Proof of Concept, keine Patches, garantierter Root-Zugriff.

Der Kernel erleidet zwei Crossfire-Treffer, CVE-2026-43284 und CVE-2026-43500, und die unsichtbare Bedrohung übertrifft CopyFail bereits.

Ich sehe Bots, die VPS skalieren, und niemand hatte auch nur Zeit, einen sauberen Kernel neu zu kompilieren!

Dirty Frag: die Root-Schwachstelle, die das gesamte System erschüttert… Linux-Sicherheit

Der Forscher Hyunwoo Kim stellt einen Zusammenhang zwischen zwei Schwachstellen in IPsec ESP und RxRPC her, die seit 2017 bzw. 2023 bestehen.

Ein einfacher Benutzerbefehl beschädigt den Seitencache; die Rechteausweitung hat eine Erfolgsquote von nahezu 100%.

Keine Race Conditions, daher keine fragwürdigen Logs: die Systemfehler passiert unbemerkt.

Wie dieAusbeutung vermeidet jegliche Kernwarnungen

Die Funktion splice() überträgt eine Speicherseite an ESP, welches diese an RxRPC weiterleitet; diese Module glauben, ein legitimes Paket zu entschlüsseln.

Der Kernel schreibt dann außerhalb des erwarteten Bereichs und ordnet die Berechtigungen neu zu: Die Root-Shell bricht sofort zusammen.

Kim warnt: „Am 7. Mai gab es keine CVE, also habe ich alles fallen gelassen.“ Das war’s.

Warum Dirty Frag besser abschneidet CopyFail für die Admins

CopyFail erforderte präzises Timing und stürzte in der Hälfte der Fälle ab; hier ist kein russisches Roulette nötig.

Der Exploit kompiliert in 20 Sekunden, läuft auf Debian, Arch, RHEL, SUSE, sogar auf dem NAS, das in Ihrem Schrank versteckt ist.

Das Timing ist noch ungünstiger: Wir waren noch dabei, CopyFail zu patchen, als diese Nachricht kam. Verletzlichkeit hat den Durchbruch in den GitHub-Repositories geschafft.

Auf GLPI-Netzwerke wurde bereits ein Cyberangriff festgestellt.

Microsoft Threat Intel weist auf eine Gruppe hin, die sich per SSH anmeldet, die Binärdatei startet, Root-Rechte erlangt und anschließend eine Web-Shell auf GLPI implementiert.

Der seitliche Pivot zielt auf Backups ab, die über NFS eingebunden sind: Wiederherstellung gefährdet, doppeltes Problem.

Es bleibt eine Zeile im SIEM, wenn niemand die Überwachung des splice()-Aufrufs aktiviert.

Schnelle Aktionen für die Linux-Schutz

Starten Sie den Computer mit einem Kernel neu, der mit deaktiviertem CONFIG_XFRM_ESN kompiliert wurde, und deaktivieren Sie RxRPC in systemd-modprobe.d. Ja, es ist unschön, aber es behebt das Problem.

Spüren Sie unsignierte Binärdateien im Verzeichnis /tmp auf: Die aktuelle Kampagne liebt diesen temporären Speicherort.

Halten Sie Ausschau nach Updates; ein Patch sollte bald über den Stable-Kernel eintreffen, aber ich würde nicht meinen GPG-Schlüssel darauf verwetten.

Quelle: www.clubic.com