Die Linux-Community steht vor einer neuen Herausforderung kritische Schwachstelle der lokalen Privilegienausweitung Die als „Dirty Frag“ bezeichnete Trümmerfratze wurde nur eine Woche nach dem Urteil entdeckt. KopierfehlerDieses neue Sicherheitsproblem, im Detail erläutert auf GitHubDies ermöglicht es jedem lokalen Benutzer ohne Administratorrechte, auf den meisten aktuellen Linux-Distributionen Root-Zugriff zu erlangen, und das Besorgniserregendste daran ist, dass dies derzeit noch nicht möglich ist. Es gibt keinen offiziellen Patch und keine zugewiesene CVE-Kennung..
Dirty Frag wurde nach dem Verletzung eines SicherheitsembargosEin Dritter, der nicht an der Forschung beteiligt war, gab einige Informationen preis, was den Forscher veranlasste, technische Details und einen Machbarkeitsnachweis zu veröffentlichen, bevor Kernel-Entwickler und Distributionen Patches bereitstellen konnten. Dies versetzt Systemadministratoren in eine prekäre Lage: eine zuverlässig ausnutzbare Sicherheitslücke, für die es noch keine endgültige Lösung gibt.
Was ist Dirty Frag und warum bereitet es so viel Besorgnis?
Dirty Frag wurde als das präsentiert direkter Nachfolger von Copy Fail und gehört zur selben Familie von Schwachstellen wie Dirty Pipe. Allen diesen Schwachstellen liegt ein gemeinsames Grundprinzip zugrunde: Ausnutzen von Fehlern in der Seitencache-Verwaltung des KernelsDas heißt, in der Kopie der Dateien im Arbeitsspeicher, die Linux zur Leistungssteigerung verwaltet.
In der Praxis erreicht der Angriff Folgendes: Der Kernel selbst überschreibt Inhalte im Seitencache. Eine Datei wird überschrieben, ohne dass der Angreifer Schreibrechte für diese Datei besitzt. Dieses kontrollierte Überschreiben wird zu einer beliebigen Schreibfunktion, die, wenn sie korrekt ausgenutzt wird, mit einer einzigen Ausführung des Exploits eine Rechteausweitung bis zum Root-Zugriff ermöglicht.
Laut dem südkoreanischen Forscher Hyunwoo Kim (bekannt als @v4belDirty Frag ist kein einfacher einmaliger Fehler, sondern ein logische Schwachstellenklasse Diese Sicherheitslücke erweitert die Familie der Schwachstellen, zu der auch Dirty Pipe und Copy Fail gehören. Sie ist weder zeitabhängig noch von Race Conditions abhängig, was bedeutet, dass der Exploit deterministisch ist, im Fehlerfall keine Kernel-Abstürze verursacht und über eine sehr hohe Erfolgsquote in anfälligen Systemen.
Zwei miteinander verknüpfte Sicherheitslücken ermöglichen den Zugriff auf Root-Rechte.
Eine der Haupteigenschaften von Dirty Frag ist, dass es nicht auf einem einzelnen Fehler basiert, sondern vielmehr Es verknüpft zwei verschiedene Linux-Kernel-Schwachstellen. um einen nahezu universellen Angriff auf moderne Systeme zu erreichen:
- xfrm-ESP Page-Cache Write – Schwachstelle im IPsec/ESP-Netzwerkstack (Funktion esp_input()), eingeführt in einem Commit im Januar 2017 (cac2661c53f3). Ermöglicht ein 4-Byte-Speicher direkt im Seitencache, an einer Position und mit einem Wert, die vom Angreifer kontrolliert werden.
- RxRPC Page-Cache Write – Fehler im RxRPC/rxkad-Subsystem (Funktion rxkad_verify_packet_1()), vorhanden seit Juni 2023Es führt einen 8-Byte-Schreibvorgang im Seitencache durch, nutzt dabei den Entschlüsselungsprozess, ohne dass Berechtigungen zum Erstellen von Namensräumen erforderlich sind, und der Schlüssel kann Brute-Force-Angriff komplett aus dem Benutzermodus.
Die erste Schwachstelle befindet sich im IPsec-Subsystem (xfrm) und wird ausgenutzt, wenn ein nichtlinearer Socket-Puffer mit gespleißten Seiten (Seiten im Seitencache, die durch Operationen wie z. B. splice(2) o sendfile(2)) umgeht die Kopierprüfung durch Schreiben (skb_cow_data()In diesem Szenario schreibt der schnelle Entschlüsselungspfad von ESP direkt auf diese Seiten und öffnet damit die Tür zur Modifizierung von Daten, auf die ein nicht privilegierter Prozess verweist.
Im Falle von RxRPC ist der Entschlüsselungspfad Wendet eine In-Place-Entschlüsselung auf Seiten im Seitencache an. Diese werden ebenfalls vom Benutzer „verankert“, jedoch ohne dass spezielle Berechtigungen wie die Erstellung von Namensräumen erforderlich sind. Der Angreifer erstellt einen verschlüsselten Block im Benutzerspeicher, sodass dieser beim Entschlüsseln durch den Kernel Das Ergebnis ist genau der gewünschte Text. im Speicher.
Warum Dirty Frag fast alle Distributionen betrifft
Keine der beiden Schwachstellen deckt einzeln betrachtet alle Szenarien ab. Der xfrm-ESP-Exploit erfordert, dass ein Benutzer ohne Administratorrechte Folgendes ausführen kann: Benutzer-Namespaces erstellenDies wird in einigen Ubuntu-Konfigurationen von AppArmor blockiert. Im Gegensatz dazu benötigt der RxRPC-Exploit keine Namespaces, das Modul jedoch schon. rxrpc.ko ist nicht standardmäßig enthalten. in den meisten Unternehmensdistributionen, wie z. B. bestimmten Versionen von RHEL.
Der Schlüssel zu Dirty Frag liegt in beide Ausbeutungspfade komplementär nutzenIn Systemen, in denen Benutzer-Namespaces zulässig sind, wird zuerst die ESP-Variante ausgelöst; in Umgebungen wie vielen Ubuntu-Installationen, in denen die Erstellung von Namespaces eingeschränkt ist, das rxrpc-Modul aber standardmäßig geladen wird, kommt die RxRPC-Variante zum Einsatz. Die „blinden Flecken“ der einen Angriffsroute werden durch die andere abgedeckt.Dies ermöglichte einen nahezu universellen Exploit.
Zu den bestätigten betroffenen Vertriebsgebieten gehören: Ubuntu 24.04.4verschiedene Versionen von RHEL 10.1, CentOS Stream 10, AlmaLinux 10, Fedora 44 und openSUSE TumbleweedDies gilt auch für andere gängige Plattformen wie Arch Linux oder WSL2-Umgebungen unter Windows. In der Praxis bedeutet dies, dass ein Großteil der verwendeten Linux-Server und -Desktop-Rechner potenziell angreifbar ist, wenn sie die betreffenden Module und Konfigurationen verwenden.
Zusammenhang mit Kopierfehlern und anderen kürzlich aufgetretenen Fehlern
Dirty Frag folgt unmittelbar auf Copy Fail (CVE-2026-31431), das bereits zuvor erzwungen wurde. Patches über mehrere Linux-Distributionen hinweg beschleunigen Angesichts einer aktiv ausgenutzten Schwachstelle zur Rechteausweitung. Beide Methoden nutzen den Seitencache und schnelle E/A-Pfade aus, doch Dirty Frag hat einen besorgniserregenden Vorteil: Es funktioniert sogar auf Systemen, auf denen Maßnahmen zur Vermeidung von Kopierfehlern angewendet wurden.wie beispielsweise die Modulsperre algif_aead oder Richtlinien von Kernel-Lockdown.
Der Forscher weist darauf hin, dass Dirty Frag ausgelöst werden kann. unabhängig davon, ob das Modul algif_aead aktiviert oder blockiert ist.Mit anderen Worten: Selbst wenn ein Produktionsserver die Empfehlungen zum Copy Fail bereits umgesetzt hat, bleibt er für diese neue Sicherheitslücke anfällig, bis der Kernel mit den entsprechenden Patches aktualisiert oder die temporären Abhilfemaßnahmen angewendet werden.
Auswirkungen auf das Geschäftsumfeld
Im Kontext, in dem Linux wird in Rechenzentren, Cloud-Anbietern und Regierungsbehörden weit verbreitet eingesetzt.Dirty Frag birgt ein hohes Risiko der lateralen Eskalation innerhalb interner Netzwerke. Ein Angreifer, der sich normalen Benutzerzugriff verschafft (beispielsweise durch gestohlene Zugangsdaten, eine anfällige Webanwendung oder einen falsch konfigurierten Dienst), Ich konnte sofort lokalen Root-Zugriff erhalten. und ohne auf komplexe Bedingungen zurückgreifen zu müssen.
Für Organisationen, die geschäftskritische Dienste auf Distributionen wie Ubuntu, RHEL, CentOS Stream, Fedora oder AlmaLinux betreiben, beschränkt sich das Problem nicht auf einen einzelnen Anbieter: die Schwachstelle Es ist im Linux-Kernel selbst enthalten.Einige Projekte, wie beispielsweise AlmaLinux, haben bereits mit der Arbeit daran begonnen. frühe Patches zum TestenAllerdings gibt es zum Zeitpunkt der Veröffentlichung noch keine weit verbreitete offizielle Lösung.
Dieses Szenario zwingt viele Sicherheits- und Systemteams zur Implementierung vorläufige MaßnahmenÜberprüfen Sie Ihre Server- und Workstation-Inventare und priorisieren Sie Umgebungen mit Benutzern, die über interaktive Shells oder die Möglichkeit verfügen, Binärdateien auf dem System auszuführen, und über sichere Anmeldeinformationen (z. B. Ändern Sie das Root-Passwort), da es genau der Vektor ist, den Dirty Frag ausnutzt.
Wo befindet sich der Kernel-Fehler?
Auf technischer Ebene ist Dirty Frag im Bereich der schnelle In-Place-Entschlüsselungsrouten von den Netzwerkmodulen esp4, esp6 und rxrpc des Kernels. Wenn ein Netzwerkpaket in ESP oder über RxRPC eintrifft, versucht der Empfangspfad, es ohne zusätzliche Datenkopien zu entschlüsseln, um die Leistung zu verbessern.
Das Problem entsteht, wenn diese Pakete enthalten Fragmente des ausgelagerten Speichers, die nicht ausschließlich dem Kernel gehörenwie beispielsweise Seiten im Seitencache, die mit Operationen von splice o MSG_SPLICE_PAGESAnstatt mit einem privaten Puffer zu arbeiten, wird der Kernel Schreiben Sie direkt auf diese gemeinsamen Seiten.Diese werden noch immer von einem nicht privilegierten Benutzerprozess referenziert. Dadurch wird der Klartext der Daten offengelegt oder, schlimmer noch, deren absichtliche Manipulation ermöglicht.
Laut Analysen, die auf Sicherheitsmailinglisten wie beispielsweise veröffentlicht wurden oss-security und netdevDer Commit vom Januar 2017, der die xfrm-ESP-Schwachstelle einführte, war auch die Ursache eines früheren Pufferüberlaufs (CVE-2022-27666), was darauf hindeutet, dass Dieselbe Codeänderung hat mehrere Sicherheitsprobleme verursacht. in diesen Jahren.
Fehlende Flickstellen und Bruch des Embargos
Dirty Frag wurde privat gemeldet an die Linux-Kernel-Maintainer am 30. April 2026Ursprünglich war geplant, die Informationen bis Mitte Mai unter Embargo zu halten, um Zeit für die Vorbereitung von Patches zu gewinnen, deren Veröffentlichung mit den Vertriebskanälen abzustimmen und das Zeitfenster für die Offenlegung zu minimieren.
Allerdings veröffentlichte ein Dritter, der nicht am Koordinierungsprozess beteiligt war, Folgendes: Details zum ESP-Exploit am 7. MaiDurch den Bruch des Embargos beschloss der Forscher angesichts dieser Situation, die vollständigen Informationen zu veröffentlichen, einschließlich einer Funktionaler Machbarkeitsnachweis, der es ermöglicht, mit einem einzigen Befehl Root-Rechte zu erlangenDas Ergebnis ist, dass die meisten Distributionen und der Rest der Welt gezwungen waren, spontan zu reagieren, ohne Lösungen parat zu haben.
Zum Zeitpunkt der Offenlegung Im Hauptkernelbaum gab es keine offiziellen Patches. Auch von den großen Anbietern werden keine aktualisierten Versionen bereitgestellt. Einige Anbieter, wie beispielsweise AlmaLinux, haben zwar vorläufige Patches für interne Tests veröffentlicht, Administratoren verlassen sich aber weiterhin hauptsächlich auf Konfigurationsmaßnahmen.
Wie man Dirty Frag während des Wartens auf Patches abmildern kann
Mangels aktueller Aktualisierungen lautet die allgemeine Empfehlung der Sicherheitscommunity: die betroffenen Kernelmodule blockieren oder deaktivieren in der Urteilsbegründung: esp4, esp6 y rxrpcDadurch wird verhindert, dass anfällige Routen geladen oder genutzt werden, wodurch die Angriffsfläche drastisch reduziert wird.
Für die meisten Desktop-Systeme und Allzweckserver sind diese Module geeignet. Sie sind nicht wesentlichda sie primär mit IPsec-Funktionalität (Netzwerkverkehrsverschlüsselung) und RxRPC, einem in Standardumgebungen weniger verbreiteten Mechanismus für Remote Procedure Calls, zusammenhängen. In Umgebungen, die jedoch IPsec verwenden, … ESP-basierte IPsec-VPNs oder andere spezifische Dienste; deren Deaktivierung kann die Konnektivität beeinträchtigen, und die Risiken sollten bewertet werden.
Eine schnelle und automatisierte Methode zur Abschwächung dieser Problematik besteht darin, eine Modprobe-Konfiguration zu erstellen, die den Austausch anfälliger Module durch eine harmlose Binärdatei erzwingt und diese deinstalliert, falls sie bereits aktiv waren. Verschiedene Sicherheitsquellen haben eine Befehlszeile ähnlich der folgenden veröffentlicht:
sudo sh -c "printf 'install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"Dieser Befehl erstellt die Datei /etc/modprobe.d/dirtyfrag.conf mit Regeln, die Module verhindern esp4, esp6 y rxrpc Laden Sie sie neu und versuchen Sie anschließend, sie zu entladen, falls sie sich bereits im Speicher befinden. Dies gilt für die überwiegende Mehrheit der Webserver, Datenbanken und gängigen Geschäftsanwendungen in Infrastrukturen. Es sollte keine Unterbrechungen verursachen.Es wird jedoch stets empfohlen, zunächst in Vorproduktionsumgebungen zu testen.
Machbarkeitsnachweis und Risiko der realen Nutzung
Zusammen mit der Veröffentlichung von Dirty Frag hat der Forscher auch Folgendes publiziert: Repository mit dem Proof-of-Concept-CodeDies ermöglicht es, den Exploit mit wenigen Befehlen zu kompilieren und auszuführen. Die resultierende Binärdatei verknüpft die beiden Angriffspfade (ESP und RxRPC) und führt auf anfälligen Systemen zu folgenden Aktionen: Erhöht die Rechte des aktuellen Benutzers sofort auf Root-Rechte..
Einige technische Quellen, die den Fehler analysiert haben, geben an, dass sie dazu in der Lage waren. Die Schwachstelle in verschiedenen Verteilungen reproduzierenDies umfasst aktualisierte Arch-Linux-Installationen und Systeme mit dem neuesten Hauptkernel. Es wurde sogar beobachtet, dass Umgebungen wie WSL2, die zunehmend von Entwicklern genutzt werden, dasselbe Verhalten zeigen, sofern der zugrunde liegende Kernel die notwendigen Bedingungen erfüllt.
Die Kombination aus einem einfach zu nutzenden öffentlichen Exploit und einem Fenster ohne verfügbare Patches Dies erhöht die Wahrscheinlichkeit, dass Angreifer versuchen, Dirty Frag in ihre Angriffsketten zu integrieren. Für viele Organisationen bedeutet dies, dringend ihre Zugriffskontrollen zu überprüfen, die interne Netzwerksegmentierung zu verstärken und die Überwachung verdächtiger Aktivitäten auf Linux-Servern zu intensivieren.
Verteilungsreaktionen und nächste Schritte
Obwohl die Ankündigung einen Großteil des Ökosystems überraschte, haben mehrere Linux-Systemanbieter damit begonnen, Arbeiten an spezifischen Patches für die betroffenen EntschlüsselungsroutenDer Forscher selbst hat die Korrektur für den RxRPC-Teil an die Mailingliste gesendet. netdev Bis Ende April sollen die Lösungen verfügbar sein, und es wird erwartet, dass sie in den kommenden Tagen oder Wochen in die stabilen Zweige des Kernels integriert werden.
Im Falle von Verteilungen mit starker Präsenz, wie zum Beispiel Ubuntu, Debian, RHEL, SUSE, openSUSE, Fedora oder AlmaLinuxDer Schwerpunkt liegt auf der Bereitstellung ordnungsgemäß getesteter Kernel-Updates über die üblichen Sicherheitskanäle. Administratoren und IT-Manager werden unterdessen dringend gebeten, Sicherheitswarnungen genau verfolgen Installieren Sie Updates, sobald diese in den offiziellen Repositories verfügbar sind.
Die jüngsten Erfahrungen mit Dirty Pipe, Copy Fail und nun auch Dirty Frag unterstreichen die Notwendigkeit von Verbesserung der Sicherheitsüberprüfungen in kritischen Teilen des Kernelsinsbesondere in Hochleistungsbereichen wie schnellen Netzwerk- und E/A-Pfaden, wo aggressive Optimierungen subtile, aber sehr gefährliche Fehler hervorrufen können.
Das Auftreten von Dirty Frag sowie anderer kürzlich aufgetretener Fehler unterstreicht einmal mehr die Wichtigkeit der Wartung eine agile Aktualisierungsrichtlinie und mehrschichtige Sicherheitskontrollen auf jeder Linux-Infrastruktur. Obwohl es noch keine endgültigen Patches für diese Sicherheitslücke gibt, ist das Deaktivieren der betroffenen Module, die Überwachung von Systemen und die Vorbereitung auf die schnelle Bereitstellung zukünftiger Kernel-Updates derzeit der beste Notfallplan, um die Auswirkungen dieses neuen Angriffsvektors zu minimieren.
