Vuile kloon is een nieuwe escalatie van Linux-kernelrechten in de VuileFrag familie. JFrog Security Research publiceerde op 25 juni een werkende exploit-walkthrough voor de fout, de eerste openbare demonstratie voor deze variant.
Het wordt bijgehouden als CVE-2026-43503 (CVSS 8.8) en laat een lokale gebruiker het door bestanden ondersteunde geheugen beschadigen via een gekloond netwerkpakket en root verkrijgen. De patch landde op 21 mei op de hoofdlijn; als uw kernel dit niet heeft, update dan nu.
Wanneer de kernel een netwerkpakket intern kopieert, laten twee helperfuncties een veiligheidsvlag vallen die aangeeft dat het geheugen van het pakket wordt gedeeld met een bestand op schijf. Die ontbrekende vlag is de hele kwetsbaarheid.
De aanvaller laadt een geprivilegieerd binair bestand zoals /usr/bin/su in het geheugen, koppelt die geheugenpagina’s aan een netwerkpakket en dwingt de kernel om het te klonen. Het gekloonde pakket passeert een IPsec-tunnel die door de aanvaller wordt beheerd, en de decoderingsstap overschrijft de inlogcontroles van het binaire bestand met door de aanvaller gekozen bytes. De volgende keer dat iemand su uitvoert, wordt de root overgedragen.
Het bestand op schijf verandert nooit. De wijziging leeft alleen in de kopie in het geheugen van de kernel, dus tools voor bestandsintegriteit missen deze, de aanval laat geen audit trail achter en een herstart herstelt het oorspronkelijke binaire bestand. De aanvaller heeft al root tegen de tijd dat iemand zou denken om dit te controleren.
Exploitatie vereist CAP_NET_ADMIN om de loopback IPsec-tunnel te configureren. Op Debian en Fedora zijn niet-bevoorrechte gebruikersnaamruimten standaard ingeschakeld, zodat een lokale gebruiker die mogelijkheid binnen een nieuwe naamruimte kan verkrijgen.
Ubuntu 24.04 en hoger beperken het maken van naamruimten via AppArmor, waardoor het standaard exploitpad wordt geblokkeerd. Paginacache wordt gedeeld op hostniveau, dus wijzigingen die binnen een naamruimte worden aangebracht, hebben invloed op elk proces op de machine.
De blootgestelde systemen zijn servers met meerdere tenants, CI-runners, containerhosts en Kubernetes-clusters waar niet-vertrouwde gebruikers naamruimten kunnen maken. JFrog bevestigde de exploit op Debian-, Ubuntu- en Fedora-systemen met standaard naamruimteconfiguraties.
Vierde in een serie
Dit is de vierde recente escalatie van bevoegdheden met dezelfde foutmodus: door bestanden ondersteund geheugen wordt behandeld als pakketgegevens, waarna een interne netwerkbewerking schrijft waar het had moeten kopiëren.
- Copy Fail (CVE-2026-31431) kwam eind april op de eerste plaats, waarbij gebruik werd gemaakt van de algif_aead-module voor een vier-byte pagina-cache-schrijfbewerking.
- DirtyFrag (CVE-2026-43284 en CVE-2026-43500) volgde op 7 mei, waarbij IPsec ESP- en RxRPC-paden aan elkaar werden gekoppeld voor een volledige schrijfprimitief.
- Fragnesia (CVE-2026-46300) verscheen op 13 mei, waarbij de DirtyFrag-patch werd omzeild via een flag-dropping bug in skb_try_coalesce().
Elke oplossing sloot één codepad af en liet andere open. De gedemonstreerde exploitatie van DirtyClone concentreert zich op __pskb_copy_fclone(), waarbij skb_shift() ook getroffen wordt; de bredere CVE-oplossing omvat extra helpers voor fragmentoverdracht waarbij dezelfde vlag verloren zou kunnen gaan.
Het onderliggende probleem is niet één slechte hulpfunctie. Het is een contractprobleem: elk codepad dat skb-fragmenten verplaatst, moet elke keer het gedeelde frag-bit behouden.
Dankzij het zero-copy-netwerk van de kernel kan het door bestanden ondersteunde geheugen dienen als pakketgegevens, en een enkele neergelaten vlag waar dan ook in de keten verandert een prestatie-optimalisatie in een schrijfprimitief. Elke variant vond een pad waar het contract niet werd nagekomen.
De oorspronkelijke DirtyFrag-onderzoeker, Hyunwoo Kim, had op 16 mei een bredere multi-site patch ingediend die verschillende resterende helpers voor frag-overdracht omvatte. De gecombineerde oplossing werd op 21 mei samengevoegd (commit 48f6a5356a33), kreeg op 23 mei CVE-2026-43503 toegewezen en werd op 24 mei verzonden in Linux v7.1-rc5.
Wat te doen
Installeer de kernelupdate van uw distributie. De oplossing is stroomopwaarts geland in v7.1-rc5 en is gebackporteerd naar stabiele en LTS-takken. Ubuntu, Debian en SUSE hebben adviezen gepubliceerd; Red Hat heeft een Bugzilla-trackingvermelding.
Als u vandaag niet kunt patchen, verkleinen twee oplossingen het aanvalsoppervlak. Beperk niet-bevoorrechte gebruikersnaamruimten: op Debian en Ubuntu stelt u kernel.unprivileged_userns_clone=0 in (andere distributies gebruiken andere mechanismen).
Als alternatief kunt u de esp4-, esp6- en rxrpc-kernelmodules op de zwarte lijst zetten, hoewel dat IPsec en AFS verbreekt en alleen werkt als deze functies laadbare modules zijn in plaats van in de kernel te zijn gecompileerd. Beide zijn tijdelijke controles, geen oplossingen.
De klasse DirtyFrag is waarschijnlijk nog niet klaar. Elke functie die fragmentdescriptors verplaatst zonder de gedeelde frag-vlag door te geven, is een potentiële nieuwe CVE, en auditing zou elk pad moeten bestrijken dat in aanraking komt met skb_shinfo()->flags tijdens de fragmentoverdracht.
