Er is nu een Proof-of-concept (PoC)-exploitcode vrijgegeven voor een onlangs gepatchte beveiligingsfout in de Linux-kernel die lokale privilege-escalatie (LPE) mogelijk zou kunnen maken.
Nagesynchroniseerd DirtyDecrypt (ook bekend als DirtyCBC), werd de kwetsbaarheid ontdekt en gerapporteerd door het Zellic- en V12-beveiligingsteam op 9 mei 2026, om vervolgens door de beheerders te worden geïnformeerd dat het een duplicaat was van een kwetsbaarheid die al in de hoofdlijn was gepatcht.
“Het is een rxgk pagecache-schrijf vanwege ontbrekende COW-beveiliging (copy-on-write) in rxgk_decrypt_skb”, zei Zellic mede-oprichter Luna Tong (ook bekend als cts en gf_256) in een beschrijving gedeeld op GitHub.
Hoewel de CVE-identifier niet openbaar is gemaakt, is de kwetsbaarheid in kwestie CVE-2026-31635 (CVSS-score: 7,5), gebaseerd op het feit dat de NIST National Vulnerability Database (NVD) een link naar de DirtyDecrypt PoC in zijn CVE-record bevat.
“De specifieke fout zit in rxgk_decrypt_skb(), de functie die een inkomende sk_buff (socketbuffer) aan de ontvangstzijde decodeert”, aldus Moselwal.
“In dit codepad verwerkt de kernel geheugenpagina’s die gedeeltelijk worden gedeeld met de paginacache van andere processen – een normale Linux-optimalisatie die wordt beschermd door copy-on-write: zodra er naar een gedeelde pagina wordt geschreven, wordt vooraf een privékopie gemaakt, zodat het schrijven niet in de gegevens van een ander proces terechtkomt.”
De afwezigheid van deze COW-beveiliging in rxgk_decrypt_skb betekent dat gegevens worden geschreven naar het geheugen van bevoorrechte processen of, afhankelijk van het exploitpad, naar de paginacache van bevoorrechte bestanden, zoals etc/shadow, /etc/sudoers of een binair SUID-bestand, wat leidt tot escalatie van lokale bevoegdheden.
DirtyDecrypt heeft alleen invloed op distributies waarbij CONFIG_RXGK is ingeschakeld, zoals Fedora, Arch Linux en openSUSE Tumbleweed. In containeromgevingen kunnen werkknooppunten met een kwetsbare versie van Linux een manier bieden om uit de pod te ontsnappen.
Volgens Zellic wordt de kwetsbaarheid beschouwd als een variant van Copy Fail (CVE-2026-31431), Dirty Frag oftewel Copy Fail 2 (CVE-2026-43284 en CVE-2026-43500) en Fragnesia (CVE-2026-46300), die allemaal root-toegang verlenen op kwetsbare systemen.
Copy Fail, een lokale privilege-escalatiefout in de AF_ALG cryptografische socketinterface, werd op 29 april 2026 onthuld door onderzoekers van Theori. Een week later werd het gevolgd door Dirty Frag. Dirty Frag breidt zich uit bij Copy Fail met twee schrijfprimitieven in de cache.
Beveiligingsonderzoeker Hyunwoo Kim werd echter gedwongen door te gaan met openbaarmaking nadat de overeengekomen embargoperiode voortijdig eindigde toen een samengevoegde patch voor CVE-2026-43284 op 5 mei een andere onderzoeker, die zich niet bewust was van het embargo, ertoe bracht de details van het defect te analyseren en onafhankelijk te publiceren.
“Ik heb de commit gelezen, herkende het xfrm ESP-in-UDP MSG_SPLICE_PAGES no-COW pad tegen gedeelde pipe-pagina’s als een LPE-primitief en bouwde een PoC”, merkte de onderzoeker op, die de online aliassen 0xdeadbeefnetwork en afflicted.sh gebruikt. “Het werk bestaat uit het n-day bewapenen van een openbare upstream-commit, wat de standaardpraktijk is zodra een veiligheidsrelevante oplossing in een openbare boom belandt.”
Fragnesia is een andere variant van Dirty Frag en heeft invloed op het XFRM ESP-in-TCP-subsysteem. Maar het resultaat is hetzelfde: het stelt onbevoegde lokale aanvallers in staat de alleen-lezen bestandsinhoud in de kernelpaginacache te wijzigen en rootrechten te verkrijgen.
De ontwikkeling sluit aan bij de ontdekking van een LPE-fout in de Linux PackageKit-daemon (CVE-2026-41651 ook bekend als Pack2TheRoot, CVSS-score: 8,8) en een ongepast privilegebeheerfout in de kernel (CVE-2026-46333 ook bekend als ssh-keysign-pwn, CVSS-score: 5,5), waardoor een lokale gebruiker zonder privileges root-eigendomsgeheimen kan lezen, zoals SSH-privésleutels.
Diverse Linux-distributies hebben adviezen uitgebracht voor CVE-2026-46333 –
Kernel-killswitch?
De golf van nieuwe onthullingen binnen een tijdsbestek van een paar weken heeft Linux-kernelontwikkelaars ertoe aangezet een voorstel voor een nood-‘killswitch’ te herzien waarmee beheerders kwetsbare kernelfuncties tijdens runtime kunnen uitschakelen totdat er een patch voor een zero-day-kwetsbaarheid beschikbaar komt.
“Met Killswitch kan een bevoorrechte operator een gekozen kernelfunctie een vaste waarde laten retourneren zonder de hoofdtekst ervan uit te voeren, als tijdelijke oplossing voor een beveiligingsfout terwijl een echte oplossing wordt voorbereid”, aldus een voorstel van Linux-kernelontwikkelaar en -onderhouder Sasha Levin.
“De functie retourneert de door de operator geleverde waarde en er wordt niets anders in de plaats uitgevoerd. Er is geen toelatingslijst, geen controle op het retourtype; als de kprobe-laag het symbool accepteert, schakelt de killswitch het in. Eenmaal ingeschakeld, is de wijziging van kracht op elke CPU totdat “disengage“ wordt geschreven of het systeem opnieuw opstart.”
Rocky Linux introduceert beveiligingsrepository
Rocky Linux heeft op zijn beurt een optionele beveiligingsrepository geïntroduceerd waarmee de distributie urgente beveiligingsoplossingen snel kan leveren, vooral in scenario’s waarin ernstige kwetsbaarheden algemeen bekend worden voordat gecoördineerde upstream-oplossingen arriveren.
“De repository is standaard uitgeschakeld. Dat is opzettelijk”, aldus de beheerders. “De standaard Rocky Linux-ervaring blijft precies wat hij altijd is geweest: voorspelbaar, stabiel en volledig upstream-compatibel. Beheerders die toegang willen tot versnelde oplossingen kunnen zich aanmelden wanneer ze die nodig hebben.”
De beveiligingsrepository richt zich specifiek op “specifieke, smalle” gevallen waarin een aanzienlijke kwetsbaarheid openbaar is, er exploitcode bestaat en upstream-patches nog niet beschikbaar zijn. Rocky Linux heeft benadrukt dat het geen vervanging is voor het reguliere releaseproces.
“Als we een oplossing pushen en upstream besluit deze niet aan te pakken, zal de volgende upstream-kernelrelease onze gepatchte versie vervangen”, voegden de beheerders eraan toe. “Gebruikers die de versie van hun kernel niet hebben vergrendeld, zullen op dat moment niet langer over onze oplossing beschikken. Dat is de afweging die we hebben geaccepteerd toen we dit bouwden.”
