Уязвимость Dirty Frag в ядре Linux раскрыта публично: PoC для xfrm — ESP утёк 7 мая

Исследователь Hyunwoo Kim обнаружил и доложил мейнтейнерам новую локальную уязвимость ядра Linux под названием Dirty Frag; эмбарго было сорвано, и 7 мая в публичный доступ попали подробные технические материалы и рабочий PoC для xfrm — ESP. Появление открытого эксплойта резко увеличивает риск атак в короткие сроки и вынуждает администраторов срочно проверить уязвимость и ограничить доступ к критичным сервисам. Это особенно важно для систем, использующих IPsec/xfrm и удалённую аутентификацию, — они первыми попадают в зону риска.

Технически Dirty Frag представляет собой цепочку локального повышения привилегий, использующую логические ошибки в сетевых и аутентификационных путях ядра. Уязвимость нацелена на поле fragment структур sk_buff и комбинирует две отдельные дыры: путь IPsec Encapsulating Security Payload (xfrm — ESP, отслеживается как CVE‑2026‑43284) и путь аутентификации RxRPC (CVE‑2026‑43500). Эксплуатация даёт злоумышленнику примитивы записи в page cache и возможность изменить участки памяти, соответствующие кажущимся только для чтения файлам, при этом не выполняя операций с файловой системой.

По своей природе Dirty Frag относится к тому же классу проблем, что и прошлые уязвимости Dirty Pipe и Copy Fail: задействованы «быстрые пути» ядра, через которые обрабатываются операции для зашифрованных сетей и удалённой аутентификации файловых систем. В отличие от тайминговых гонок, описанная ошибка логическая — это делает эксплойт более надёжным и менее склонным к авариям ядра при неудачной попытке, что повышает шанс скрытой и повторяемой эксплуатации.

Практические последствия для инцидент‑респонса существенны: злоумышленнику обычно требуется первоначальный доступ — например, непривилегированный шелл через SSH, web shell или скомпрометированный контейнер — после чего он может перезаписать в памяти исполняемые файлы или конфигурации и привести к их выполнению или перезагрузке с правами root. Публичный PoC был быстро размножен по блогам, репозиториям и форумам, что дополнительно увеличило вероятность массовых атак. Патчи ещё разрабатываются, и на данный момент не существует единого исправления, гарантирующего защиту от всех вариантов эксплуатации Dirty Frag. В краткосрочной перспективе рекомендуется срочно оценить экспозицию сервисов, ограничить доступ неавторизованных учётных записей, ужесточить контроль над контейнерами и, при необходимости, временно блокировать ряд сетевых сервисов, включая VPN и компоненты IPsec/xfrm и RxRPC, пока не появятся проверенные обновления.