Dirty Frag Zero-Day дає root на всіх основних дистрибутивах Linux

Уявіть міст, який безпечно витримував навантаження майже десять років, і одного четвергового ранку інженер-конструктор публікує точне навантаження та кут, що його руйнують. Саме в такому становищі опинились адміністратори Linux-флотів 8 травня. Дослідник на ім'я Hyunwoo Kim розкрив Dirty Frag — локальне підвищення привілеїв, що перетворює будь-якого непривілейованого користувача на root практично в кожному дистрибутиві, який має значення, — а ембарго було порушено ще напередодні.

Аналогія з мостом буде активно використовуватись у цьому матеріалі, адже Dirty Frag — це не одна тріснута балка. Це дві вади в дорожньому полотні, об'єднані в ланцюг, і ядро несе це навантаження приблизно з 2017 року.

Що сталося

8 травня 2026 року о 03:45 дослідник з безпеки Hyunwoo Kim опублікував повну документацію та робочий proof-of-concept для Dirty Frag — локального root-експлойта, що спрацьовує однією командою на більшості основних дистрибутивів Linux. Як повідомив BleepingComputer, помилка була введена приблизно дев'ять років тому у криптографічному інтерфейсі алгоритмів algif_aead ядра і тихо чекала в mainline весь цей час.

Kim не хотів оприлюднювати це таким чином. Він координував дії з мейнтейнерами дистрибутивів через [email protected] — стандартний список попереднього розкриття саме для такої міжвендорної координації. Але 7 травня непов'язана третя сторона незалежно опублікувала експлойт, і ембарго згоріло вщент.

«Оскільки ембарго наразі порушено, жодного патча чи CVE не існує», — написав Kim. «Після консультацій з мейнтейнерами на [email protected] і на їх прохання цей документ про Dirty Frag публікується». Переклад: як тільки кіт вибрався з мішка, утримання технічного опису лише шкодило захисникам.

До 09:58 за EDT того ж дня дві базові вади отримали записи у CVE: CVE-2026-43284 для вразливості xfrm-ESP Page-Cache Write та CVE-2026-43500 для вразливості RxRPC Page-Cache Write. Список уражених систем схожий на перекличку production Linux: Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed та Fedora. На момент публікації жоден із них не мав патча.

І це відбувається тоді, коли всі ще в процесі розгортання виправлень для Copy Fail — попереднього root-ескалейшену, що вже активно експлуатується.

Технічна анатомія

Dirty Frag належить до того самого класу помилок, що й Dirty Pipe та Copy Fail, але б'є по іншій балці мосту. Якщо Dirty Pipe зловживав механізмом splice/pipe у page-cache, то Dirty Frag атакує поле фрагментів окремої структури даних ядра, що доступна через algif_aead — криптографічний інтерфейс з боку простору користувача для автентифікованого шифрування.

Експлойт об'єднує два окремих примітиви запису page-cache. Перший — помилка xfrm-ESP Page-Cache Write (CVE-2026-43284), доступна через код IPsec ESP-трансформації. Другий — помилка RxRPC Page-Cache Write (CVE-2026-43500), доступна через AFS-подібний RPC-стек. Кожна окремо є точкою опори для пошкодження пам'яті. У зв'язці вони дозволяють непривілейованому процесу модифікувати захищені системні файли в page-cache, минаючи перевірки прав доступу до файлів, які має забезпечувати рівень VFS. Це означає: перезаписати SUID-бінарник, або /etc/passwd, або будь-який інший привілейований файл на диску, що зараз закешований, — і ви root.

Ось деталь, яка змусить кожного інженера, знайомого з ядром, вирівнятися. Kim описує Dirty Frag як «детерміновану логічну помилку, що не залежить від часового вікна, не потребує race condition, ядро не панікує при невдалій спробі експлойту, а рівень успіху дуже високий». Це сценарій кошмару для інженерів. Експлойти на основі race condition ненадійні, галасливі та часто призводять до краша хоста при невдачі, що дає EDR привід для тривоги. Детермінована логічна помилка — повна протилежність: тиха, відтворювана, скриптована, і її можна вбудувати в стадію post-exploitation будь-якого типового малварного набору.

Кожен, хто розгортав модулі ядра у production-флоті, знає нудну істину: найнебезпечніші помилки — це не вистава з memory-safety, а логічні вади в інтерфейсах, які ніхто не перевіряє, бо вони виглядають як службовий код. algif_aead — саме такий сервісний код. Він лежить на мосту дев'ять років, бо виконує свою роботу і ніхто не мав причини уважно вивчати шлях обробки фрагментів.

Хто постраждає

Пряма відповідь: будь-хто, хто запускає багатоорендний Linux. Точніша відповідь залежить від того, хто ваші непривілейовані користувачі.

Спільний хостинг, CI-раннери, вузли Kubernetes з ненадійними навантаженнями, університетські кластери, пісочниці для bug bounty та будь-яка iGaming або fintech-платформа, що дозволяє виконувати код під контролем клієнта на спільних хостах: ось дорожнє полотно мосту. Локальне підвищення привілеїв набагато важливіше, коли «локально» включає орендаря. Для операторів Kubernetes зокрема: втеча з контейнера плюс Dirty Frag = повне захоплення вузла, а після цього облікові дані kubelet та секрети, змонтовані на цьому вузлі, зникають.

Платіжні та торгові компанії зі суворими вікнами контролю змін опинились у незручному становищі. Патчування ядра означає перезавантаження, перезавантаження означає вікна обслуговування, а вікна обслуговування у регульованих середовищах означають погодження. Пом'якшення від Kim — видалення модулів ядра esp4, esp6 та rxrpc — є реальним виправленням, але не безкоштовним. Воно ламає IPsec VPN та розподілені файлові системи AFS. Якщо ваша site-to-site-з'єднуваність працює на IPsec, вилучення ESP — це не однорядкове рішення, а зміна архітектури.

Федеральні агентства, що досі наздоганяють дедлайн по Copy Fail, опинились у найгіршому становищі. CISA додала Copy Fail до свого каталогу відомих експлуатованих вразливостей минулої п'ятниці з дедлайном 15 травня для захисту федеральних Linux-пристроїв. Стандартна позиція CISA щодо цього класу помилок — що він «є частим вектором атак для зловмисних кіберакторів і становить значний ризик для федеральних підприємств» — тепер стосується двох одночасних незаплаткованих root-дір. А Pack2TheRoot, виправлений у квітні після десятиліття в демоні PackageKit, — це вже три за приблизно тридцять днів.

Саме ця закономірність має турбувати CTO. Старий код, глибоко в стеку, знайдений окремими дослідниками, з'являється швидше, ніж корпоративний цикл патчування може поглинути.

План дій для команд безпеки

Цього тижня, а не в наступному спринті:

По-перше, вирішіть, чи можете ви видалити модулі. Виконайте lsmod | grep -E 'esp4|esp6|rxrpc' по всьому флоту. Якщо відповідь — «завантажено, але не використовується», застосуйте пом'якшення від Kim: занесіть їх до чорного списку в /etc/modprobe.d/ та виконайте rmmod для активних. Якщо ви використовуєте IPsec або AFS — цей варіант не підходить, і вам потрібен компенсуючий контроль.

По-друге, обмежте доступ до algif_aead. Інтерфейс захищений сокетами AF_ALG. Профілі seccomp, що забороняють socket(AF_ALG, ...) для ненадійних навантажень, усувають поверхню атаки для цього дерева процесів. Для контейнерних платформ це зміна Pod Security policy або gVisor/Kata. Проведіть аудит зараз, поки всі звертають увагу.

По-третє, вважайте свої CI-раннери та ефемерні обчислювальні ресурси скомпрометованими за замовчуванням до появи патча. Змініть будь-які довгострокові облікові дані, до яких можуть звертатися ці хости. Кожен, хто прибирав наслідки захоплення раннера, знає: рахунок за прибирання перевищує рахунок за патч на порядок.

По-четверте, стежте за виявленням. Dirty Frag детермінований і тихий, тому звичайний сигнал «стрибок kernel panic» вас не врятує. Шукайте несподіване створення сокетів AF_ALG некриптографічними навантаженнями, аномальні модифікації SUID-бінарників та аномалії page-cache, якщо ваш eBPF-інструментарій це підтримує. Зіставте поведінку з MITRE ATT&CK T1068 і напишіть детекцію до того, як експлойт потрапить у ботнет, а не після.

По-п'яте, протестуйте свій цикл патчування ядра. Коли upstream випустить виправлення, ви хочете бути командою, що розгортає за 48 годин, а не тією, що подає заявку на зміну.

Ключові висновки

• Dirty Frag — детермінований однокомандний локальний root-експлойт, що зачіпає Ubuntu, RHEL, CentOS Stream, AlmaLinux, openSUSE Tumbleweed та Fedora, без патчів на момент розкриття.
• Він об'єднує CVE-2026-43284 (xfrm-ESP) та CVE-2026-43500 (RxRPC) через дев'ятирічний інтерфейс algif_aead, без race condition.
• Ембарго було порушено 7 травня, коли непов'язана третя сторона опублікувала експлойт, що змусило Kim випустити повну документацію день потому.
• Пом'якшення шляхом видалення модулів esp4, esp6 та rxrpc працює, але ламає IPsec VPN та AFS, тому для production-мереж воно не є безкоштовним.
• На тлі Copy Fail (вже в CISA KEV з федеральним дедлайном 15 травня) та квітневого Pack2TheRoot це третя глибокостекова root-помилка Linux приблизно за тридцять днів.

Повернімось до мосту. Дев'ять років трафіку, дві тріснуті балки, і інженер, який виявив режим відмови, був зіштовхнутий з трибуни в розпалі виступу. Дорожнє полотно ще несе навантаження. Чи витримає воно ваше протягом наступних двох тижнів — залежить від того, що ви зробите до п'ятниці.