Linux

Dirty Frag : La nouvelle menace invisible qui dépasse CopyFail sur Linux

Par Simon , le mai 10, 2026 - 2 minutes de lecture
AccueilLinuxDirty Frag : La nouvelle menace invisible qui dépasse CopyFail sur Linux
découvrez comment dirty frag, une menace invisible sur linux, dépasse copyfail en termes de dangerosité et les implications pour la sécurité de votre système.
Notez-moi

Dirty Frag est sorti du bois le 7 mai et c’est le chaos : un PoC public, zéro patch, un accès root garanti.

Le kernel encaisse deux tirs croisés, CVE-2026-43284 et CVE-2026-43500, et la menace invisible dépasse déjà CopyFail.

Je vois passer les bots qui scalent les VPS et personne n’a encore le temps de recompiler un noyau propre !

Dirty Frag : l’exploit root qui secoue toute la sécurité Linux

Le chercheur Hyunwoo Kim chaîne deux failles dans IPsec ESP et RxRPC, présentes depuis 2017 et 2023.

Une simple commande userland et le cache de pages est corrompu ; l’élévation de privilèges monte à presque 100 % de réussite.

Pas de condition de course, donc pas de log douteux : la faille système passe sous le radar.

Comment l’exploitation évite toute alerte noyau

La fonction splice() pousse une page mémoire vers ESP, qui la refile à RxRPC ; ces modules croient déchiffrer un paquet légitime.

Le noyau écrit alors hors de la zone attendue et remappe les droits : le shell root tombe aussitôt.

Kim prévient : « aucun CVE n’existait le 7 mai, j’ai donc tout lâché ». Voilà.

Pourquoi Dirty Frag surclasse CopyFail pour les admins

CopyFail exigeait du timing et se crashait une fois sur deux ; ici, pas besoin de jouer à la roulette russe.

L’exploit compile en 20 secondes, tourne sur Debian, Arch, RHEL, SUSE, même sur ce NAS planqué dans ton placard.

Le timing est pire : on patchait encore CopyFail quand cette nouvelle vulnérabilité a percé les repos GitHub.

Attaque informatique déjà repérée sur les parcs GLPI

Microsoft Threat intel note un groupe qui ssh, lance le binaire, root, puis implante un web-shell sur GLPI.

Le pivot latéral cible les backups montés en NFS : restauration compromise, bonjour la double peine.

Ça restera une ligne dans le SIEM si personne n’active l’audit des appels splice().

Actions rapides pour la protection Linux

Rebootez sur un noyau compilé avec CONFIG_XFRM_ESN off et désactivez RxRPC dans systemd-modprobe.d, oui c’est moche mais ça bloque.

Chassez les binaires non signés dans /tmp : la campagne actuelle adore cet emplacement jetable.

Surveillez les mises à jour ; un patch devrait arriver via stable-kernel d’ici peu, mais je parierais pas ma clé GPG dessus.

Source: www.clubic.com

Simon

Ingénieur système linux passionné par l'optimisation et la sécurité des infrastructures. Avec 34 ans d'expérience de vie, je m'efforce de résoudre des défis techniques avec créativité et efficacité. Toujours à l'affût des dernières innovations technologiques, j'aime partager mes connaissances et collaborer avec des équipes pour atteindre des objectifs communs.

Voir les publications de l'auteur

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.