Dirty Frag: root su Linux con PoC e exploit attivo

Dirty Frag sfrutta due flaw del kernel Linux per escalation a root. PoC pubblico, attacchi già rilevati da Microsoft e patch in corso di rilascio su major dist…

Contenuto

Dirty Frag: root su Linux con PoC e exploit attivo
Dirty Frag: root su Linux con PoC e exploit attivo

Il ricercatore Hyunwoo Kim ha reso pubblica la catena di vulnerabilità Dirty Frag il 7 maggio 2026, dimostrando come due flaw nel kernel Linux — identificati come CVE-2026-43284 e CVE-2026-43500 — consentano l'escalation a root su molte distribuzioni major tramite una primitiva di scrittura deterministica sulla page cache. Un proof-of-concept è già disponibile e Microsoft ha confermato exploitation in the wild limitata, con una campagna che sfrutta un binario ELF per compromettere server prima ancora che le patch stable fossero distribuite. La natura deterministica della vulnerabilità, combinata con la capacità di aggirare mitigazioni differenziate tra distribuzioni, rende il rischio immediato per server, workload virtualizzati e container in produzione.

Punti chiave
  • La catena sfrutta due primitive di page-cache write nei sottosistemi xfrm-ESP (IPsec) e RxRPC, presenti rispettivamente nel kernel dal gennaio 2017 e dal giugno 2023.
  • Il proof-of-concept pubblico consente escalation a root con un singolo comando e non richiede race condition, garantendo un tasso di successo molto alto.
  • Microsoft ha rilevato attività in the wild caratterizzata da esecuzione di un binario ELF denominato ./update, escalation tramite comando su e successiva manomissione di file GLPI.
  • Le patch sono integrate nel mainline del kernel, ma non tutte le distribuzioni stable le avevano rilasciate al momento della segnalazione; AlmaLinux 10, ad esempio, le rende disponibili solo nei repository di testing.

Due percorsi di rete, un unico obiettivo: la page-cache write

Il cuore di Dirty Frag risiede in una classe di bug che permette la scrittura deterministica sulla page cache del kernel senza richiedere condizioni di competizione temporale. La catena unisce due flaw distinti: uno nel sottosistema xfrm-ESP (IPsec in modalità Encapsulating Security Payload over UDP), tracciato come CVE-2026-43284, e uno in RxRPC, identificato come CVE-2026-43500. Entrambi i percorsi sfruttano operazioni di decrypt in-place che scrivono direttamente su pagine di memoria non di proprietà esclusiva del kernel, raggiungibili attraverso chiamate di sistema come splice() e sendfile().

Un processo non privilegiato può così corrompere file appartenenti alla page cache, inclusi binari con bit SUID attivo, sovrascrivendo porzioni specifiche per ottenere l'esecuzione con privilegi di root. La primitiva offerta dalla componente ESP si limita a una scrittura di 4 byte per volta, sufficiente tuttavia a iniettare payload di escalation quando concatenata alla seconda via RxRPC.

"Both flaws allow modification of page-cache-backed memory that is not exclusively owned by the kernel, enabling corruption of sensitive files and ultimately privilege escalation" — Merav Bar and Rami McCarthy (Wiz)

Ubuntu blocca gli namespace, ma RxRPC resta aperto

Le distribuzioni Linux adottano mitigazioni differenziate che, nel caso di Dirty Frag, si trasformano in punti ciechi reciprocamente sfruttabili. Su Ubuntu, la creazione di user namespace è bloccata per impostazione predefinita, impedendo l'attivazione della primitiva xfrm-ESP che richiede quel contesto isolato per essere innescata. Tuttavia, il modulo rxrpc.ko risulta caricato di default, offrendo agli attaccanti un percorso alternativo per completare la catena senza bisogno di namespace aggiuntivi.

Al contrario, su altre major distribution la situazione può essere rovesciata, con namespace disponibili ma RxRPC assente o meno accessibile. Questa architettura di attacco dimostra come gli aggressori possano mixare primitive distinte per aggirare difese parziali, rendendo inefficaci le mitigazioni singole applicate singolarmente. La capacità di concatenare le due vulnerabilità consente di coprire quasi tutte le distribuzioni major citate nella disclosure, tra cui RHEL 10.1, Fedora 44, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 e Ubuntu 24.04.4.

"Dirty Frag is a vulnerability (class) that achieves root privileges on most Linux distributions by chaining the xfrm-ESP Page-Cache Write vulnerability and the RxRPC Page-Cache Write vulnerability" — Hyunwoo Kim (@v4bel)

Microsoft ha spotato exploitation attiva prima delle patch stable

L'attività in the wild non è teorica. Microsoft ha confermato di aver rilevato una campagna limitata che sfrutta la catena Dirty Frag per l'escalation locale su server Linux già compromessi tramite accesso iniziale. Gli attaccanti caricano un binario ELF denominato ./update e attivano la privilege escalation tramite il comando su.

Una volta ottenuto root, la campagna osservata procede con la manomissione di file GLPI e la cancellazione di sessioni PHP, probabilmente per occultare le tracce dell'intrusione e consolidare il controllo sulla macchina. L'attribuzione rimane sconosciuta: nessun gruppo threat actor è stato identificato al momento della pubblicazione. Il dato più rilevante è la tempistica: l'exploitation è stata rilevata prima che le patch stable fossero rese disponibili sulle distribuzioni affette, comprimendo ulteriormente la finestra di reazione per gli amministratori di sistema.

"Dirty Frag is notable because it introduces multiple kernel attack paths involving rxrpc and esp/xfrm networking components to improve exploitation reliability" — Microsoft

Deterministica, affidabile e in grado di aggirare blacklist precedenti

A differenza di vulnerability storiche come Dirty Cow, che dipendono da race condition difficili da stabilizzare e che spesso causano instabilità del sistema, Dirty Frag si basa su un errore di logica puramente deterministica. Il ricercatore Hyunwoo Kim sottolinea che l'exploit non dipende da una finestra temporale, non provoca kernel panic in caso di tentativo fallito e offre un tasso di successo molto alto. Questa affidabilità lo rende particolarmente adatto all'uso automatizzato in campagne di massa o in movimenti laterali all'interno di infrastrutture già violate.

"Because it is a deterministic logic bug that does not depend on a timing window, no race condition is required, the kernel does not panic when the exploit fails, and the success rate is very high" — Hyunwoo Kim (@v4bel)

Inoltre, la catena funziona anche su sistemi dove è già stata applicata la mitigazione per Copy Fail, che prevede la blacklist del modulo algif_aead. Gli stessi meccanismi di page-cache write, introdotti rispettivamente nel kernel nel gennaio 2017 per il sottosistema ESP e nel giugno 2023 per RxRPC, hanno resistito a più cicli di hardening senza essere identificati come superficie di attacco congiunta.

Cosa fare adesso

  1. Ispezionare i moduli kernel attivi e rimuovere o mettere in blacklist rxrpc.ko e i componenti xfrm-ESP non indispensabili fino all'aggiornamento stable, limitando la superficie di attacco esposta ai processi non privilegiati. Su sistemi Ubuntu, dove rxrpc è caricato di default, questa verifica assume priorità assoluta.
  2. Monitorare i log di autenticazione e i processi in esecuzione alla ricerca di anomalie coerenti con la campagna Microsoft: binari ELF con nome ./update, escalation improvvise tramite su e alterazioni di file GLPI o cancellazioni anomale di sessioni PHP.
  3. Pianificare l'installazione delle patch mainline non appena la propria distribuzione le renderà disponibili nei repository stable, dato che al momento della segnalazione AlmaLinux 10 e altre release le avevano distribuite solo in testing o repository non di produzione.
  4. Verificare infine che i container e gli host condivisi non concedano privilegi di rete eccessivi, come CAP_NET_ADMIN, a workload non trusted, poiché la preparazione del contesto di exploit richiede la configurazione di interfacce o tunnel di rete che un utente non privilegiato non dovrebbe poter gestire.

Dirty Frag conferma una tendenza preoccupante: gli attaccanti non si limitano a sfruttare singoli bug, ma costruiscono catene che sfruttano le discrepanze tra mitigazioni adottate dalle diverse distribuzioni. La velocità con cui Microsoft ha rilevato exploitation attiva prima del rilascio delle patch stable suggerisce che il tempo di reazione a disposizione degli amministratori si è ulteriormente ridotto. In questo scenario, la segmentazione dei privilegi di rete e il controllo dei moduli kernel non più necessari passano da buone pratiche a misure di sopravvivenza.

Domande frequenti

È sufficiente rimuovere rxrpc.ko su Ubuntu per mitigare il rischio?

La rimozione di rxrpc.ko impedisce l'uso della seconda primitiva, ma la mitigazione completa richiede l'applicazione delle patch stable del kernel rilasciate dalla propria distribuzione. Su sistemi dove altre mitigazioni bloccano già gli user namespace, il modulo rxrpc rappresenta il percorso alternativo della catena.

In che modo Dirty Frag differisce dalla mitigazione già applicata per Copy Fail?

A differenza di Copy Fail, che può essere mitigato blacklisting il modulo algif_aead, Dirty Frag sfrutta componenti di rete (xfrm-ESP e RxRPC) non coperti da quella stessa difesa, rendendo necessarie nuove contromisure specifiche.

L'exploitation in-the-wild confermata da Microsoft riguarda anche i desktop?

La campagna osservata finora ha preso di mira server Linux via accesso SSH, ma la natura locale della vulnerabilità rende teoricamente esposto qualsiasi sistema che permetta l'esecuzione di codice a un utente non privilegiato, inclusi ambienti containerizzati con configurazioni di rete permissive.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews