上次 copy fail 还没过完他的老大哥又来了qwq 而且这位比 copy fail 还要狠哦
这个byd漏洞活了整整9年!
CVE-2026-43284 & CVE-2026-43500 / 漏洞档案
| 项目 | 内容 |
|---|---|
| 漏洞名称 | Dirty Frag |
| CVE 编号 | CVE-2026-43284 + CVE-2026-43500 |
| 披露时间 | 2026年5月7日 |
| CVSS 评分 | 7.8 / 高危 |
| 漏洞类型 | 本地权限提升(LPE)/ 页缓存污染 + 容器逃逸 |
| 漏洞根源 | IPsec(ESP)和 RxRPC 子系统中不安全的 in-place 解密逻辑;两个独立的页缓存写原语组合利用 |
| 攻击前提 | 大多数场景只需普通用户权限;部分路径可能需要 CAP_NET_ADMIN |
| 是否需要网络 | 不需要(是纯本地权限提升,不是远程漏洞,但模块是网络组件) |
| PoC/EXP 状态 | PoC 已于 5月7日发布在 GitHub;编译后的二进制 7分钟内出现在 VirusTotal,24小时内触发数百个分叉 |
| 在野利用状态 | 已发现⚠️ 安全厂商在核查期间检测到扫描与探测行为,且有实际在野活动报告 |
| 受影响版本 | Linux 内核 4.10 至 7.0 / 主流发行版全部中招,部分场景覆盖容器运行时 |
| 补丁状态 | 仍处于过渡期:CVE-2026-43284 主线补丁已合,部分发行版已推送修复(或可禁用模块进行临时缓解);CVE-2026-43500 至今仍无官方补丁可用 —— 如果你正在运营 RHEL / Ubuntu / Rocky Linux / AlmaLinux / Fedora / openSUSE / Debian,只能靠“禁模块”应急 |
1. dirty frag 对比 copy fail
上次 Copy Fail 走的是 AF_ALG 加密套接字的漏洞,需要交互内核加密引擎。而这次 Dirty Frag 走的是 IPsec(ESP)和 RxRPC 这两条完全不同且更核心的网络热路径。两个独立的薄弱点相互串通,覆盖了彼此的“视野盲区”,形成了一个极其可靠的提权组合。
两个 CVE 的实情:
- CVE-2026-43284(ESP / IPsec):自 2017 年就存在,覆盖面更广
- CVE-2026-43500(RxRPC):自 2023 年才引入,但在很多发行版中默认启用
研究者特地说:“单独一个漏洞链可能不够稳固,但组合起来就直接提权”。这意味着攻击者可以利用任意一个组件发起提权,不用非得等内核崩溃、猜内存布局。
关键差异之一:ESP 路径中创建 netns 命名空间时,可能需要 CAP_NET_ADMIN(虽然很多环境的 namespace 共享了该项权限);但 RxRPC 路径在大量发行版中并不需要特殊权限。很多系统加载了 rxrpc,且该模块在容器化的默认配置中未被 seccomp 屏蔽。
比起 Copy Fail,Dirty Frag 更可怕的一个点是:即使你禁用了 algif_aead(上次的攻击入口),这些新的攻击路径仍旧畅通无阻。
2. 技术原理
延续“Dirty”家族一脉相承的玩法——页缓存污染(Page Cache Corruption)。
当 Linux 读取文件(比如 /usr/bin/su)时,内核会把它的一份副本留在内存里,所有进程共享这份缓存。正常情况普通用户不能改,但 Dirty Frag 的玩法是绕过规则:利用 IPsec 中的 ESP 模块进行不安全的内联(in-place)解密。把 splice() 拿到的 su 内存页,伪装成一个网络数据包的内存区域。ESP / RxRPC 收到数据包后,直接在内联缓冲区上执行解密,并没有检查这块内存归属——所以解密输出就直接写入了 su 的页缓存里,实现任意 4 字节篡改。
更贴心的是,CVE-2026-43500(RxRPC)提权思路更是直接暴击:直接让 root 账号变成无密码状态,再调用 su 进入 root shell。
3.威胁
几乎所有主流发行版全线中招。厂商各自都承认受影响了。
对云原生来说压力更大。页缓存是宿主机和容器的共享资源:攻击者在脆弱的容器里执行 Dirty Frag,很容易篡改宿主机 su 的页缓存,然后直接获得宿主机的 root 权限。
在容器默认部署场景(例如 K8s 未限制 seccomp 或未 disable rxrpc/esp4/esp6 模块)时,CAP_NET_ADMIN 的权限会直接增加暴露面。PoC 虽然(暂时)未放出专门的 容器逃逸 PoC,但页缓存污染的根本机制让它已成为现实风险。
PoC 发布后的几小时内,各类团伙和扫描器就开始了大量的自动化和定制化尝试。
4.措施
两个 CVE 的补丁进度并不同步。目前唯一能够全面阻隔的方法,是禁用内核组件(需评估业务影响后操作):
printf "install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n" | sudo tee /etc/modprobe.d/dirtyfrag.confsudo rmmod esp4 esp6 rxrpc 2>/dev/null || true查看模块状态:
lsmod | grep -E "esp4|esp6|rxrpc"如果禁用后仍需启用 IPsec VPN 或 AFS 场景,请认真评估,最好在测试环境先验证。另外,容器环境应通过 seccomp 策略(或安全管理方案)阻止 socket 调用创建 AF_KEY、AF_NETLINK 等涉及 ESP 管理通道的 socket。
最后,升级内核才是最稳妥的长久之策。各发行版已陆续出补丁,补丁版本一览(持续更新):
| 发行版 | 安全版本 / 补丁编号 | 说明 |
|---|---|---|
| Debian 11 (bullseye) | 5.10.251-4**** | 已收录 CVE-2026-43284 及 CVE-2026-43500(其中 43500 为缓解方案) |
| Debian 12 (bookworm) | 6.1.170-3**** | 同上 |
| Fedora 42 / 43 | kernel 6.19.14-101 / 7.0.4**** | CVE-2026-43284 / CVE-2026-43500 均包含修复 |
| Ubuntu | 预计将于 2026年5月底完成全系列稳定内核发布(含 fix)。在此之前,需使用模块禁用缓解**** | - |
| RHEL 8/9/10 / AlmaLinux 8/9/10 | CVE-2026-43284:已发布最低安全版本为 kernel-4.18.0-553.123.2.el8_10。 CVE-2026-43500:尚未合入官方 rpm。 | 43500 尚无日期;可依赖模块禁用缓解 |
| Rocky Linux | ESP 修复已合入;RxRPC 尚未进入稳定版 | - |
| Amazon Linux 2023 | 紧急安全更新已启动,但具体版本仍在更新 | - |
警告:如果在 PoC 演示时或者被别人扫描时已触发过漏洞,建议立刻重启或者手动清理页缓存:
sync && echo 3 | sudo tee /proc/sys/vm/drop_caches。
5. AI正在重塑凌晨三点的攻防阵线
Dirty Frag 在内核潜伏:ESP 路径从 2017 年开始出现(9 年!),RxRPC 也在两年半前处于同一缺陷模式中,均被 AI 辅助扫描精确定位。
研究者 Hyunwoo Kim 的报告中明确承认,AI 工具对 Linux 内核的网络子系统进行大规模扫描,利用先前 Copy Fail 积累的启发式模式,发现了这两个新的同源缺陷。CIQ 安全工程团队评论:以后这类“同族”漏洞会一波一波接连披露。
6. 资源链接
- LBL 官方页面(应急指引):https://go.lbl.gov/dirtyfrag
- Ubuntu 公告与手动缓解步骤:https://ubuntu.com/blog/dirty-frag-linux-vulnerability-fixes-available
- Microsoft Defender 在野活动分析:https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk
- Wiz 博客(容器风险分析):https://www.wiz.io/blog/dirty-frag-linux-kernel-local-privilege-escalation-via-esp-and-rxrpc
- CIQ 补丁状态跟踪:https://ciq.com/blog/dirty-frag-copy-fail-pattern
免责声明
本文内容仅供网络安全技术研究和威胁防御参考。严禁将所提技术用于任何未经授权的渗透测试、系统入侵、数据破坏等行为。使用者须严格遵守《中华人民共和国网络安全法》及所在地区法律法规。因不当使用造成的一切后果由使用者自行承担。所有漏洞验证与攻击模拟务必在合法授权的靶场或独立测试环境中进行,切莫非法触碰真实系统。
如果这篇文章对你有帮助,欢迎分享给更多人!
部分信息可能已经过时