Linuksa

Dirty Frag: Nowe niewidzialne zagrożenie, które przewyższa CopyFail w systemie Linux

By Simon , on 10 maja, 2026 , updated on 10 maja, 2026 - 3 minutes to read
HomeLinuksaDirty Frag: Nowe niewidzialne zagrożenie, które przewyższa CopyFail w systemie Linux
découvrez comment dirty frag, une menace invisible sur linux, dépasse copyfail en termes de dangerosité et les implications pour la sécurité de votre système.
Notez-moi

Brudny Frag wyszedł z ukrycia 7 maja i zapanował chaos: publiczny PoC, zero poprawek, gwarantowany dostęp do roota.

Jądro jest narażone na dwa ataki krzyżowe, CVE-2026-43284 i CVE-2026-43500, a niewidzialne zagrożenie już przewyższa CopyFail.

Widzę boty skalujące VPS-y, a nikt nie ma czasu, żeby skompilować czyste jądro!

Dirty Frag: główny exploit, który wstrząsa całym… Bezpieczeństwo Linuksa

Badacz Hyunwoo Kim łączy dwie luki w zabezpieczeniach IPsec ESP i RxRPC, obecne od 2017 i 2023 roku.

Proste polecenie użytkownika uszkadza pamięć podręczną strony; eskalacja uprawnień ma skuteczność wynoszącą niemal 100%.

Brak warunków wyścigu, a zatem brak wątpliwych logów: wada systemu pozostaje niezauważony.

Jakeksploatacja unika wszelkich alertów rdzeniowych

Funkcja splice() przesyła stronę pamięci do protokołu ESP, który przekazuje ją do protokołu RxRPC; te moduły sądzą, że odszyfrowują prawidłowy pakiet.

Następnie jądro zapisuje dane poza oczekiwanym obszarem i zmienia mapowanie uprawnień, a powłoka główna natychmiast się zamyka.

Kim ostrzega: „7 maja nie istniał żaden CVE, więc odpuściłem sobie wszystko”. To wszystko.

Dlaczego Dirty Frag jest lepszy Kopiowanie nie powiodło się dla administratorów

CopyFail wymagał precyzyjnego określenia czasu i w połowie przypadków ulegał awarii; w tym przypadku nie ma potrzeby grania w rosyjską ruletkę.

Exploit kompiluje się w 20 sekund, działa na systemach Debian, Arch, RHEL, SUSE, a nawet na serwerze NAS ukrytym w twojej szafie.

Czas jest jeszcze gorszy: wciąż łataliśmy CopyFail, gdy pojawiła się ta wiadomość wrażliwość przedarło się przez repozytoria GitHub.

Wykryto już atak cybernetyczny na sieci GLPI.

Microsoft Threat Intel zauważa grupę, która nawiązuje połączenie SSH, uruchamia plik binarny, uzyskuje uprawnienia roota, a następnie implementuje powłokę internetową w GLPI.

Boczny punkt obrotu ma na celu kopie zapasowe zamontowane za pomocą NFS: przywrócenie zagrożone, witaj podwójne kłopoty.

Pozostanie on wierszem w systemie SIEM, jeśli nikt nie włączy audytu wywołań splice().

Szybkie akcje dla Ochrona Linuksa

Zrestartuj jądro skompilowane z wyłączonym CONFIG_XFRM_ESN i wyłącz RxRPC w systemd-modprobe.d. Owszem, wygląda to brzydko, ale rozwiązuje problem.

Znajdź niepodpisane pliki binarne w /tmp: obecna kampania uwielbia tę jednorazową lokalizację.

Bądźcie czujni na aktualizacje; łatka powinna wkrótce pojawić się w stable-kernel, ale nie stawiałbym na nią swojego klucza GPG.

Źródło: www.clubic.com

Simon

Ingénieur système linux passionné par l'optimisation et la sécurité des infrastructures. Avec 34 ans d'expérience de vie, je m'efforce de résoudre des défis techniques avec créativité et efficacité. Toujours à l'affût des dernières innovations technologiques, j'aime partager mes connaissances et collaborer avec des équipes pour atteindre des objectifs communs.

See the publications of this author

Comments

Leave a comment

Your comment will be revised by the site if needed.