Dirty Frag：Linux上でCopyFailを凌駕する新たな目に見えない脅威

ダーティフラグ 5月7日に突如現れたが、それは大混乱だ。公開されたPoC、パッチなし、ルートアクセスが保証されている。

カーネルは、CVE-2026-43284とCVE-2026-43500の2つのクロスファイア攻撃を受け、 目に見えない脅威 既にCopyFailを凌駕している。

ボットがVPSをスケーリングしているのを目にするが、誰もクリーンなカーネルを再コンパイルする時間さえ取れていない！

Dirty Frag：インターネット全体を揺るがすルートエクスプロイト… Linuxのセキュリティ

研究者のキム・ヒョンウ氏は、2017年と2023年から存在するIPsec ESPとRxRPCの2つの脆弱性を関連付けている。

単純なユーザーランドコマンドでページキャッシュが破損し、権限昇格の成功率はほぼ100%に達する。

レース条件がないため、疑わしいログはありません。 システムの欠陥 人目に触れずに済む。

どのようにして搾取 コアアラートを一切回避します

splice() 関数はメモリ ページを ESP にプッシュし、ESP はそれを RxRPC に渡します。これらのモジュールは、正当なパケットを復号化していると認識します。

するとカーネルは想定外の領域に書き込みを行い、パーミッションを再マッピングします。その結果、ルートシェルは即座に崩壊します。

キム氏は「5月7日時点ではCVEは存在していなかったので、私はすべてを諦めた」と警告している。それだけだ。

Dirty Fragが優れている理由 コピー失敗 管理者向け

CopyFailは正確なタイミングが求められ、半分の確率でクラッシュしたが、ここではロシアンルーレットをする必要はありません。

このエクスプロイトは20秒でコンパイルでき、Debian、Arch、RHEL、SUSE、さらにはクローゼットに隠されたNASでも動作します。

タイミングはさらに悪い。このニュースが届いた時、私たちはまだCopyFailのパッチを適用している最中だった。 脆弱性 GitHubリポジトリを突破した。

GLPIネットワーク上で既にサイバー攻撃が確認されている。

Microsoft Threat Intelは、SSHで接続し、バイナリを起動し、root権限を取得した後、GLPI上でWebシェルを実装するグループを指摘している。

横方向のピボットがNFS経由でマウントされたバックアップをターゲットにしているため、復元が失敗し、二重のトラブルが発生します。

誰もsplice()呼び出しの監査を有効にしない限り、それはSIEMの記録として残ります。

のためのクイックアクション Linuxの保護

CONFIG_XFRM_ESN を無効にしてコンパイルしたカーネルで再起動し、systemd-modprobe.d で RxRPC を無効にしてください。見た目は良くありませんが、これで問題は解決します。

/tmp ディレクトリにある署名されていないバイナリを探し出してください。現在のキャンペーンでは、この使い捨ての場所が好まれています。

アップデートに注意してください。stable-kernel 経由でパッチが間もなくリリースされるはずですが、GPG キーを賭けるほど確実ではありません。

ソース： www.clubic.com