Седьмого мая 2026 года исследователи безопасности раскрыли новую уязвимость локального повышения привилегий, получившую название DirtyFrag. Она затрагивает ядро Linux и позволяет любому неавторизованному процессу получить полный контроль над системой. Проблема охватывает все крупные дистрибутивы: Ubuntu, RHEL, Fedora, CentOS Stream, AlmaLinux и openSUSE. При этом один из двух задействованных дефектов до сих пор не получил официального исправления ни в одной из веток ядра.
Описание
DirtyFrag относится к семейству уязвимостей, известных как Dirty Pipe и Copy Fail. Это означает, что причина кроется в логической ошибке, а не в состоянии гонки. Такой класс дефектов особенно опасен: эксплойт работает детерминированно и не вызывает аварийного завершения системы при неудаче. Злоумышленник может быть уверен в результате каждой попытки.
В основе DirtyFrag лежат две уязвимости, зарегистрированные в реестре общеизвестных уязвимостей CVE (Common Vulnerabilities and Exposures). Первая - CVE-2026-43284 - затрагивает подсистему xfrm-ESP, которая отвечает за обработку IPsec-трафика. Для её эксплуатации требуются привилегии на создание пространств имён (namespaces). Вторая - CVE-2026-43500 - связана с протоколом RxRPC (удалённый вызов процедур ядра). Этот путь не требует никаких особых прав, если модуль rxrpc загружен по умолчанию, что характерно для многих дистрибутивов.
Механизм работы обеих уязвимостей схож. Непривилегированный процесс может перезаписать содержимое памяти, отображённой из файлов, которые считаются неизменяемыми. В результате атакующий получает возможность модифицировать бинарный файл с установленным битом setuid (программа, выполняющаяся с правами владельца) или сделать учётную запись root беспарольной. В первом случае (CVE-2026-43284) создаётся копия setuid-программы в памяти, которая затем заменяется на код, запускающий оболочку с правами суперпользователя. Во втором случае (CVE-2026-43500) изменяется запись root в shadow-файле, после чего команда su даёт доступ к root без пароля.
Уже в день раскрытия на GitHub появился публичный прототип эксплойта (PoC). Реакция сообщества оказалась молниеносной. Скомпилированные бинарные файлы были загружены на платформу VirusTotal через семь минут после публикации исходного кода. В течение следующих суток репозиторий набрал сотни форков, многие из которых содержали активные модификации полезной нагрузки, адаптированной под конкретные цели. Это означает, что потенциал для атак растёт с каждым часом, хотя подтверждённых инцидентов в дикой природе пока не зафиксировано.
Эксперты компании Netskope, специализирующейся на безопасности облачных сред, зафиксировали интерес к DirtyFrag в семи странах уже в первые 24 часа после публикации. Телеметрия показала, что злоумышленники активно изучают эксплойт и проверяют его работоспособность. Разрыв между появлением прототипа и его боевым использованием неуклонно сокращается, особенно с учётом того, что код открыто дорабатывается.
Ситуацию усугубляет отсутствие единого патча. Для CVE-2026-43284 исправление было включено только в основную ветку разработки ядра (mainline), но ни один из стабильных дистрибутивов не получил его по состоянию на восьмое мая. Что касается CVE-2026-43500, то для неё не выпущено никакого патча ни в одной из веток. Разработчики ядра пока не комментируют сроки исправления.
В качестве временной меры защиты рекомендуется заблокировать загрузку уязвимых модулей ядра. Для этого достаточно выполнить следующие команды от имени root:
| 1 | sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true" |
Эта процедура отключает оба вектора атаки, но имеет ограничения. Если модули esp4, esp6 или rxrpc уже загружены и используются, команда rmmod завершится ошибкой. Рекомендуется проверить состояние модулей с помощью lsmod до и после выполнения скрипта. В случае, если модули активны и их выгрузка невозможна, необходимо искать альтернативные способы изоляции до выхода официальных обновлений.
Последствия DirtyFrag могут быть крайне серьёзными. Детерминированный эксплойт, не требующий привилегий для одного из путей, означает, что любой пользователь, имеющий доступ к командной строке, способен получить root на любом сервере под управлением уязвимой версии ядра. Для организаций это риск полной компрометации инфраструктуры, перехвата конфиденциальных данных и нарушения работы критических сервисов.
Администраторам Linux-систем следует немедленно оценить свою подверженность атаке, проверить загруженность модулей esp4, esp6 и rxrpc, а также применить временные блокировки. Однако главной рекомендацией остаётся мониторинг обновлений от поставщиков дистрибутивов - только официальный патч сможет полностью устранить угрозу. Пока же DirtyFrag служит напоминанием, что даже зрелые операционные системы могут содержать скрытые логические ошибки, способные свести на нет все многоуровневые средства защиты.
Индикаторы компрометации
TLSH
- T166F59F87FB587D5BC0224632CDEB43693332F1513713692F1998327CAD97AE4DE06A62
- T16A53E66F9B52DA75C441D2709BEF9260A87070B02F36602F3B016BB63F716954F79E22
- T17643E977BA51C5B4C096C1B05EDB42A0A677B0B02B72762F3B4537773A213C64E5AB32
- T18853E66F9B52DA75C441D2709BEF9260A87070B02F36702F3B016BB63E716954F79E22
- T1DC53E6BFAB52DA75C441D2709BEF9270A47070702F36212F3B016BBA3E716554B69E23
vhash
- aa0a1187cb479f091e9b621389f89bbe
- b82700d064ce87ae7f980201e683b8fd
- d5561820534ba7c79b05bc4db1baefd4
- fa09b0e61917f449bb5682216f868073
