Detalhes começaram a surgir sobre uma nova vulnerabilidade ainda sem correção de escalonamento local de privilégios no kernel Linux.
Batizada de Dirty Frag, ela é descrita como sucessora da Copy Fail (
CVE-2026-31431
, nota CVSS: 7,8), uma falha de LPE revelada recentemente que já vem sendo explorada ativamente no mundo real.
A vulnerabilidade foi reportada aos mantenedores do kernel Linux em 30/04/2026.
“Dirty Frag é uma vulnerabilidade de classe que obtém privilégios de root na maioria das distribuições Linux ao encadear a vulnerabilidade de gravação na page cache xfrm-ESP e a vulnerabilidade de gravação na page cache RxRPC”, explicou o pesquisador de segurança Hyunwoo Kim (@v4bel) em uma análise.
“Dirty Frag é um caso que estende a classe de bugs à qual pertencem Dirty Pipe e Copy Fail.
Como se trata de um bug lógico determinístico, que não depende de uma janela de tempo, não é necessária condição de corrida, o kernel não entra em panic quando a exploração falha e a taxa de sucesso é muito alta.”
Se a exploração for bem-sucedida, um usuário local sem privilégios pode obter acesso root em grande parte das distribuições Linux, incluindo Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 e Fedora 44.
Segundo o pesquisador, a vulnerabilidade de gravação na page cache xfrm-ESP foi introduzida em um commit de código-fonte feito em janeiro de 2017, enquanto a falha de gravação na page cache RxRPC apareceu em junho de 2023.
Curiosamente, o mesmo commit de 17/01/2017 também foi a causa raiz de outro buffer overflow, identificado como
CVE-2022-27666
, com nota CVSS de 7,8, que afetou várias distribuições Linux.
A falha xfrm-ESP Page-Cache Write, ligada ao subsistema IPSec (xfrm), oferece aos invasores uma primitive de armazenamento de 4 bytes, assim como a Copy Fail, e sobrescreve uma pequena quantidade de dados na page cache do kernel.
No entanto, a exploração exige que o usuário sem privilégios crie um namespace, etapa bloqueada no Ubuntu pelo AppArmor.
Nesse cenário, a xfrm-ESP Page-Cache Write não pode ser acionada.
É aí que entra a segunda exploração, a RxRPC Page-Cache Write.
“A RxRPC Page-Cache Write não exige permissão para criar um namespace, mas o módulo rxrpc.ko não está incluído na maioria das distribuições”, explicou Kim.
“Por exemplo, a compilação padrão do RHEL 10.1 não inclui o rxrpc.ko.
Já no Ubuntu, o módulo rxrpc.ko é carregado por padrão.”
“Encadear as duas variantes faz com que as brechas de uma cubram as da outra.
Em um ambiente em que a criação de namespaces de usuário é permitida, a exploração ESP roda primeiro.
Por outro lado, no Ubuntu, onde a criação de namespaces de usuário é bloqueada, mas o rxrpc.ko está presente, a exploração RxRPC funciona.”
A CloudLinx, em um alerta próprio, disse que a falha está no caminho rápido “ESP-in-UDP MSG_SPLICE_PAGES no-COW” e pode ser acessada pela interface XFRM do user netlink.
“O bug está nos caminhos rápidos de descriptografia em memória de esp4, esp6 e rxrpc: quando um socket buffer carrega fragmentos paginados que não são de propriedade privada do kernel, como páginas de pipe anexadas por meio de splice(2), sendfile(2) ou MSG_SPLICE_PAGES, o caminho de recebimento descriptografa diretamente sobre essas páginas externas, expondo ou corrompendo texto claro ao qual um processo sem privilégios ainda mantém referência”, afirmou a AlmaLinux.
A urgência aumentou com a divulgação de um proof-of-concept funcional, PoC, que permite obter root com um único comando.
Até que os patches estejam disponíveis, a recomendação é colocar os módulos esp4, esp6 e rxrpc em lista de bloqueio para que não possam ser carregados:
`sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"`
Vale destacar que a Dirty Frag, embora tenha semelhanças com a Copy Fail, pode ser explorada independentemente de o módulo algif_aead do kernel Linux estar habilitado ou não.
“Observe que a Dirty Frag pode ser acionada independentemente de o módulo algif_aead estar disponível”, disse o pesquisador.
“Em outras palavras, mesmo em sistemas onde a mitigação conhecida publicamente para a Copy Fail, isto é, a lista de bloqueio do algif_aead, foi aplicada, o Linux ainda continua vulnerável à Dirty Frag.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...