Недавно обнаруженная проблема повышения привилегий в Linux, получившая название «Dirty Frag», открывает злоумышленникам более простой путь к получению прав root после первоначального компрометации.
По данным Microsoft, две уязвимости, составляющие эту проблему и затрагивающие компоненты сетевого стека и обработки фрагментации памяти ядра Linux, уже активно эксплуатируются в реальных атаках. Попытки эксплуатации неотличимы от недавно обнаруженных кампаний Copy Fail.
«Dirty Frag может быть использована после первоначального компрометации через SSH-доступ, выполнение веб-шеллов, побег из контейнера или компрометацию учетной записи с низкими привилегиями», — заявили исследователи Microsoft в блоге, добавив, что затронутые среды могут включать развертывания Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE и OpenShift.
Microsoft также отметила, что эксплойт выделяется тем, что позволяет избежать многих проблем со стабильностью, обычно связанных с эксплойтами локального повышения привилегий в Linux, использующими ошибки, зависящие от состояния гонки (race-condition).
Превращение фрагментации памяти Linux в доступ root
Согласно Microsoft, цепочка эксплойтов Dirty Frag использует уязвимости в том, как ядро Linux обрабатывает страницы фрагментированной памяти, позволяя злоумышленникам перезаписывать защищенные данные, основанные на кэше страниц, и повышать привилегии до уровня root.
Атака объединяет две отдельные уязвимости, затрагивающие подсистему IPsec Encapsulating Security Payload (ESP) ядра Linux (CVE-2026-43284) и сетевой протокол RxRPC (CVE-2026-43500). «После установления локального доступа успешная эксплуатация может позволить злоумышленникам повысить привилегии до root и получить широкий контроль над скомпрометированным хостом Linux», — заявили исследователи.
Dirty Frag является последним дополнением к растущему семейству уязвимостей, связанных с повреждением кэша страниц ядра Linux, к которому относятся Dirty Pipe (CVE-2022-0847) и недавно обнаруженный баг Copy Fail (CVE-2026-31431).
«Эта уязвимость похожа на Copy Fail и Dirty Pipe тем, что они атакуют кэши страниц в системе, где выполняются криптографические операции на месте», — сказал Бен Роналло, ведущий инженер по кибербезопасности в Black Duck. «Copy Fail, Dirty Pipe и Dirty Frag эксплуатируют одну и ту же первопричину, но Dirty Frag не ограничивается одной подсистемой Linux, в то время как Copy Fail ограничен только algif_aead, а Dirty Pipe — pipe_buffer».
Злоумышленники уже эксплуатируют Dirty Frag
Microsoft предупредила, что Dirty Frag уже активно эксплуатируется в реальных атаках, в основном в качестве инструмента для повышения привилегий после компрометации. Компания сообщила, что злоумышленники используют уязвимость после получения первоначального плацдарма в уязвимых системах Linux, что позволяет им повысить привилегии с учетной записи пользователя низкого уровня до полного доступа root.
«Microsoft Defender в настоящее время фиксирует ограниченную активность в реальных атаках, где наблюдается повышение привилегий с использованием ‘su’, что может указывать на методы, связанные либо с ‘Dirty Frag’, либо с ‘Copy Fail’», — заявили исследователи, добавив, что атака начиналась с SSH-доступа, за которым следовало выполнение вредоносного ELF-бинарного файла, быстро повышающего привилегии с помощью ‘su’.
Su, сокращение от switch user, — это инструмент командной строки в системах Linux для переключения с текущего пользователя на другого, как правило, root, для выполнения команд с повышенными привилегиями.
Защитников призывают отключить уязвимые модули ядра
У пользователей пока нет полного исправления. Хотя Linux Kernel Organization исправила CVE-2026-43284 в выпуске от 8 мая 2026 года, исправления для CVE-2026-43500 все еще ожидаются.
Поскольку исправления все еще неравномерно распространяются по экосистемам Linux, Microsoft и другие исследователи настоятельно призывают организации немедленно применить временные меры смягчения последствий. Рекомендуемые действия включают отключение уязвимых модулей ядра esp4, esp6 и rxrpc, если они не требуются для операционной деятельности.
Microsoft также рекомендовала ограничить ненужный локальный доступ к оболочке, отслеживать аномальное повышение привилегий и усилить контроль рабочих нагрузок в контейнерах, чтобы уменьшить возможности для злоумышленников получить полный контроль над системой. «Одних только мер смягчения последствий может быть недостаточно для отмены изменений, уже внесенных в результате успешных попыток эксплуатации», — предупредили исследователи, добавив, что эксплуатация до применения мер смягчения может сохранить вредоносные изменения в памяти или кэшированном содержимом файлов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
