Опасная уязвимость Dirty Frag даёт возможность любому локальному пользователю получить привилегии администратора в большинстве популярных дистрибутивов Linux, выпущенных после 2017 года, среди которых Ubuntu, Arch, RHEL, Fedora и даже подсистема WSL2 в Windows 11. На данный момент ни один дистрибутив и основная ветка ядра Linux не имеют исправления для этой проблемы.
Источник изображения: Sasun Bughdaryan / unsplash.com
Принцип действия Dirty Frag схож с недавней уязвимостью Copy Fail. Атака не требует особых настроек системы или точного времени для запуска — это простая логическая ошибка в операционной системе. Достаточно выполнить небольшую программу, и обычный пользователь получает права администратора. Под угрозой находятся актуальные версии Ubuntu (24 и 26), Arch, RHEL, OpenSUSE, CentOS Stream, Fedora, Alma и другие сборки Linux.
В отличие от уязвимости Copy Fail, для которой уже выпущены патчи, Dirty Frag остаётся без исправлений, включая основную ветку ядра Linux. Издание Tom's Hardware сообщило, что взлом успешно сработал на CachyOS с ядром 7.0.3-1-cachyos и на обновлённой системе Arch. Однако защититься довольно просто: достаточно отключить три компонента ядра — esp4, esp6 и rxrpc. Все они отвечают за шифрование сетевого трафика по протоколу IPSec и необходимы только машинам, работающим в корпоративных VPN-сетях, поэтому для большинства рабочих станций и серверов их отключение останется незамеченным.
О проблеме сообщили команде разработчиков ядра Linux ещё 30 апреля, но третья сторона нарушила договорённость и раскрыла уязвимость раньше срока. Tom's Hardware считает, что злоумышленники уже активно эксплуатируют эту уязвимость, что и привело к преждевременной публикации информации о ней в интернете.
С технической точки зрения, Dirty Frag, подобно Copy Fail, эксплуатирует механизм нулевого копирования в ядре Linux: злоумышленник вставляет дескриптор страничного кеша в операцию splice, благодаря чему может записывать данные в файлы, недоступные для записи обычному пользователю, и таким образом повышать свои права до администраторских. Уязвимый код расположен в модулях, отвечающих за шифрование сетевого трафика IPSec. Изначальная ошибка xfrm-ESP Page Cache Write была внесена в коммите cac2661c53f3 в 2017 году. Поскольку встроенная защита AppArmor в Ubuntu закрывает именно эту первую уязвимость, демонстрационный код (PoC) дополнительно использует вторую — RxRPC Page-Cache Write из коммита 2dc334f1a63a.
