Ars Technica описала Dirty Frag как вторую серьёзную Linux-уязвимость за две недели. До неё индустрия разбиралась с Copy Fail — CVE-2026-31431, локальной уязвимостью повышения привилегий в криптографической подсистеме ядра Linux. Microsoft писала, что Copy Fail затрагивает крупные дистрибутивы, включая Red Hat, SUSE, Ubuntu и Amazon Linux, а рабочий PoC уже доступен.
Dirty Frag продолжает ту же неприятную линию: это локальное повышение привилегий. То есть атакующему сначала нужен доступ к машине — например, через украденный SSH-аккаунт, web shell, уязвимое приложение, контейнер или CI-задачу. После этого уязвимость может превратить ограниченного пользователя в root. Microsoft описывает такие сценарии: SSH, web-shell, container escape, низкопривилегированные сервисные аккаунты и post-exploitation после фишинга или компрометации удалённого доступа.
Dirty Frag — это не одна ошибка, а связка проблем в компонентах ядра Linux. Microsoft описывает её как локальное повышение привилегий через уязвимые сетевые и memory-fragment компоненты, включая esp4, esp6 и rxrpc. Для отслеживания используются CVE-2026-43284 и CVE-2026-43500.
Первая уязвимость затрагивает модули поддержки ESP — Encapsulating Security Protocol, одного из протоколов IPsec. Вторая затрагивает RxRPC, протокол, используемый в AFS, распределённой файловой системе Andrew File System. Canonical оценила CVE-2026-43284 как HIGH с CVSS 8.8, а CVE-2026-43500 — как HIGH с CVSS 7.8.
Red Hat после обновления бюллетеня добавила к набору Dirty Frag ещё один вариант — Fragnesia, CVE-2026-46300, в XFRM ESP-in-TCP. Для продуктов Red Hat затронуты Red Hat Enterprise Linux 10, 9, 8 и OpenShift 4; impact классифицирован как Important, но исправления выпускаются в ускоренном режиме.
Dirty Frag относится к классу ошибок, связанных с кэшем страницы. Это тот же общий тип проблем, из-за которого раньше громко обсуждали Dirty Pipe и Copy Fail. В описании исследователя Хёнву Кима говорится, что Dirty Frag получает root-права на основных Linux-дистрибутивах за счёт цепочки xfrm-ESP Page-Cache Write и RxRPC Page-Cache Write. Ошибка детерминированная. Уязвимость срабатывает предсказуемо: ей не нужна редкая «гонка» между процессами или точное попадание в короткий момент времени. Если попытка эксплуатации не удалась, она, как правило, не должна приводить к падению ядра.
Многие локальные LPE-эксплойты годами были шумными и нестабильными: то сработали, то уронили систему, то зависели от версии ядра, нагрузки и таймингов. Dirty Frag выглядит опаснее именно из-за предсказуемости. Microsoft пишет, что уязвимость вводит несколько путей атаки через rxrpc и esp/xfrm, что повышает надёжность эксплуатации в разных средах.
Canonical пишет, что затронуты все перечисленные в её таблице релизы Ubuntu: от старых LTS-линеек до 26.04 LTS.
На обычных хостах без контейнеров опубликованный эксплойт позволяет локальному пользователю повысить права до root. В контейнерных средах риск шире: уязвимость может помочь сценариям выхода из контейнера, хотя Canonical уточняет, что PoC для container escape на момент публикации не был опубликован.
Microsoft отдельно называет Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE и OpenShift. Red Hat подтверждает затронутые RHEL и OpenShift, а также объясняет, что Dirty Frag связан с IPsec ESP/XFRM и rxrpc-модулями.
Особенно внимательно к Dirty Frag стоит отнестись тем, кто запускает чужой или полудоверенный код: CI/CD-раннеры, shared hosting, Kubernetes-ноды, контейнерные платформы, учебные песочницы, исследовательские стенды, build-серверы, multi-tenant-инфраструктура. Там локальное выполнение кода — не редкость, а часть модели работы.
Контейнеры изолируют процессы, но не дают отдельного ядра. Контейнер и хост используют один Linux kernel. Если ошибка живёт в ядре и её можно вызвать из ограниченного окружения, граница контейнера ослабляется.
Microsoft уже писала похожее про Copy Fail: из-за общих кэша и ядра уязвимость может повлиять на хост и соседние контейнеры, что делает её особенно неприятной для Kubernetes, CI/CD и облачных сред. Для Dirty Frag логика та же: уязвимость становится особенно ценной после первичного доступа в контейнер или ограниченный аккаунт.
Исследователь Хёнву Ким пытался провести скоординированное раскрытие. В GitHub-описании Dirty Frag указано, что на момент первой публикации 7 мая 2026 года эмбарго операция была сорвана внешними факторами, поэтому изначально не было ни CVE, ни готового полного набора патчей. После консультации с участниками linux-distros документ был опубликован по их просьбе.
Это объясняет, почему уязвимость обсуждали как zero-day и почему в первые часы ситуация выглядела хаотично: PoC уже был публичным, а дистрибутивы и сопровождающие ядра выпускали рекомендации и фиксы в аварийном режиме.
Сейчас ситуация лучше, чем в момент первого раскрытия. В README Dirty Frag указано, что xfrm-ESP Page-Cache Write был исправлен в mainline-коммите f4c50a4034e6, а RxRPC Page-Cache Write — в aa54b1d27fe0. Microsoft также пишет, что Linux Kernel Organization выпустила патчи для CVE-2026-43284 8 мая 2026 года, но на тот момент патчи для CVE-2026-43500 ещё не были доступны.
Администраторам стоит обновлять ядро через вендора дистрибутива. Самостоятельно собирать случайный kernel с патчами из интернета — плохая идея для продакшна, если нет чёткого процесса тестирования. Лучше смотреть бюллетени Ubuntu, Red Hat, SUSE, Fedora, AlmaLinux, облачного провайдера или поставщика Kubernetes.
Стоит также предпринять временные меры, если патч ещё не поставлен. Canonical рекомендует заблокировать загрузку модулей esp4, esp6 и rxrpc, выгрузить их, а затем проверить, остались ли они в /proc/modules. При этом предупреждают, что отключение этих модулей ломает IPsec ESP и RxRPC/AFS, если они используются в инфраструктуре.
Red Hat даёт похожую рекомендацию для большинства продуктов: blocklist для esp4 и esp6, проверка использования IPsec и отдельная осторожность, если IPsec действительно нужен. Для сред, где IPsec нельзя отключать, Red Hat предлагает вариант с отключением unprivileged user namespaces, но предупреждает о побочных эффектах для rootless containers, sandboxed browsers и Flatpak.
Стоит также ограничить локальный доступ. Microsoft рекомендует ограничивать лишний shell-доступ, усиливать контейнерные workload’ы, мониторить аномальное повышение привилегий и приоритизировать развёртывание kernel-патчей после выхода advisory от вендоров.
Microsoft описывает в качестве признаков компрометации внешний доступ через SSH, интерактивную shell-сессия, staging и запуск ELF-бинарника, затем резкое повышение привилегий через su. После получения повышенного доступа актор менял LDAP authentication file в GLPI, проводил разведку каталога GLPI и системной конфигурации, работал с PHP session files, удалял и читал session data.
Это не универсальный IOC для всех атак Dirty Frag, но хороший шаблон: внезапные SUID/SGID-процессы, подозрительный su, запуск неизвестных ELF из временных каталогов, необычная активность после SSH-сессии, изменения auth-конфигов, попытки стереть сессии веб-приложений и следы эксплуатации на системах, где до этого был низкопривилегированный доступ.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
