Er zijn details naar voren gekomen over een nieuwe, niet-gepatchte lokale privilege escalatie (LPE) kwetsbaarheid die gevolgen heeft voor de Linux-kernel.
Nagesynchroniseerd Vuile Fragis het beschreven als een opvolger van Copy Fail (CVE-2026-31431, CVSS-score: 7,8), een onlangs onthulde LPE-fout die gevolgen heeft voor de Linux-kernel die sindsdien actief in het wild wordt uitgebuit. De kwetsbaarheid werd op 30 april 2026 gemeld aan Linux-kernelbeheerders.
“Dirty Frag is een kwetsbaarheid (klasse) die rootprivileges op de meeste Linux-distributies verkrijgt door de xfrm-ESP Page-Cache Write-kwetsbaarheid en de RxRPC Page-Cache Write-kwetsbaarheid aan elkaar te koppelen”, zei beveiligingsonderzoeker Hyunwoo Kim (@v4bel) in een artikel.
“Dirty Frag is een case die de bugklasse uitbreidt waartoe Dirty Pipe en Copy Fail behoren. Omdat het een deterministische logische bug is die niet afhankelijk is van een timingvenster, is er geen race condition vereist, raakt de kernel niet in paniek als de exploit mislukt, en is het slagingspercentage erg hoog.”
Succesvolle exploitatie van de fout zou een lokale gebruiker zonder privileges in staat kunnen stellen verhoogde root-toegang te verkrijgen op de meeste Linux-distributies, waaronder Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 en Fedora 44.
Volgens de onderzoeker werd de xfrm-ESP Page-Cache Write-kwetsbaarheid geïntroduceerd in een broncode-commit in januari 2017, terwijl de RxRPC Page-Cache Write-kwetsbaarheid in juni 2023 werd geïntroduceerd. Interessant genoeg was dezelfde commit van 17 januari 2017 de hoofdoorzaak achter een nieuwe bufferoverflow (CVE-2022-27666, CVSS-score: 7,8) die verschillende Linux-distributies trof.
xfrm-ESP Page-Cache Write, dat zijn oorsprong vindt in het IPSec (xfrm)-subsysteem, biedt aanvallers een opslagprimitief van 4 bytes, zoals Copy Fail, en overschrijft een kleine hoeveelheid in de paginacache van de kernel.
De exploit vereist echter dat de gebruiker zonder rechten een naamruimte maakt, een stap die door Ubuntu via AppArmor wordt geblokkeerd. In een dergelijke omgeving kan xfrm-ESP Page-Cache Write niet worden geactiveerd. Dat is waar de tweede exploit, RxRPC Page-Cache Write, in beeld komt.
“RxRPC Page-Cache Write vereist niet het privilege om een naamruimte te creëren, maar de rxrpc.ko-module zelf is niet opgenomen in de meeste distributies”, legt Kim uit. “De standaardbuild van RHEL 10.1 verzendt bijvoorbeeld geen rxrpc.ko. Op Ubuntu wordt de module rxrpc.ko echter standaard geladen.”
“Door de twee varianten aan elkaar te koppelen, bedekken de blinde vlekken elkaar. In een omgeving waar het maken van gebruikersnaamruimten is toegestaan, wordt de ESP-exploit als eerste uitgevoerd. Omgekeerd werkt op Ubuntu, waar het maken van gebruikersnaamruimten wordt geblokkeerd maar rxrpc.ko is gebouwd, de RxRPC-exploit.”
CloudLinx zei in een eigen advies dat de fout zich bevindt in het “ESP-in-UDP MSG_SPLICE_PAGES no-COW fast path en bereikbaar is via de XFRM-gebruikersnetlinkinterface.”
“De bug leeft in de in-place decoderingssnelle paden van esp4, esp6 en rxrpc: wanneer een socketbuffer gepagineerde fragmenten vervoert die geen privé-eigendom zijn van de kernel (bijvoorbeeld pipe-pagina’s die zijn gekoppeld via splice(2)/sendfile(2)/MSG_SPLICE_PAGES), decodeert het ontvangstpad rechtstreeks over die extern ondersteunde pagina’s, waardoor platte tekst wordt blootgelegd of beschadigd dat een proces zonder privileges nog steeds een referentie bevat naar,” zei AlmaLinux.
Wat de urgentie nog groter maakt, is de release van een werkende proof-of-concept (PoC) die kan worden uitgebuit om wortel te schieten in één enkele opdracht. Totdat de patches beschikbaar zijn, wordt geadviseerd om esp4-, esp6- en rxrpc-modules op de blokkeerlijst te zetten, zodat ze niet kunnen worden geladen –
sudo sh -c “printf ‘install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”
Het is de moeite waard hier te vermelden dat Dirty Frag, ondanks dat er enkele overlappingen zijn met Copy Fail, kan worden uitgebuit, ongeacht of de algif_aead-module van de Linux-kernel is ingeschakeld of niet.
“Merk op dat Dirty Frag kan worden geactiveerd, ongeacht of de algif_aead-module beschikbaar is”, aldus de onderzoeker. “Met andere woorden: zelfs op systemen waarop de algemeen bekende Copy Fail-beperking (algif_aead blacklist) wordt toegepast, is je Linux nog steeds kwetsbaar voor Dirty Frag.”
