Как DirtyFrag дает root-доступ
Уязвимость DirtyFrag позволяет локальному пользователю повысить привилегии до уровня root в ядре Linux. Проблема кроется в некорректной обработке фрагментированных пакетов и механизмах копирования данных в буферах сокета.
Термин объединяет две критические ошибки: CVE-2026-43284 и CVE-2026-43500. Первая затрагивает подсистему IPsec ESP, вторая — модуль RxRPC, используемый файловой системой AFS.
В случае с CVE-2026-43284 ошибка возникает при передаче данных через UDP-сокеты с флагом MSG_SPLICE_PAGES. Страницы из канала напрямую прикрепляются к структуре skb без установки флага SKBFL_SHARED_FRAG.
Ядро воспринимает такие пакеты как обычные и применяет быстрый путь обработки без копирования данных. Это приводит к расшифровке ESP «на месте» поверх областей памяти, общих для нескольких процессов.
Злоумышленник может манипулировать содержимым памяти до или после расшифровки. Результат — повреждение данных или выполнение произвольного кода с правами ядра.
Какие модули Linux затронуты
Риск эксплуатации зависит от активных сетевых подсистем. Для CVE-2026-43284 критичны модули esp4 и esp6, отвечающие за инкапсуляцию безопасности в IPv4 и IPv6.
Вторая уязвимость, CVE-2026-43500, связана с модулем rxrpc. Атака использует функцию rxkad_verify_packet_1, где первые 8 байт полезной нагрузки расшифровываются на месте.
При подстановке страниц через splice() ядро может перезаписать фрагмент страничного кэша читаемого файла. Атакующий подбирает ключ и токен так, чтобы результат расшифрования дал нужные байты.
Практический риск — изменение содержимого системных файлов в кэше, например /etc/passwd. Замена root:x:0:0: на root::0:0: позволяет войти в систему без пароля.
Агентство CISA-ADP присвоило CVE-2026-43284 базовый балл 7.8 (HIGH). Вектор атаки локальный, но последствия максимальны: полный доступ к конфиденциальности, целостности и доступности.
Где риск эксплуатации выше
Корпоративные серверы, выполняющие функции шлюзов или обрабатывающие зашифрованный трафик, находятся в зоне повышенного риска. IPsec широко используется для site-to-site туннелей и удаленного доступа.
Даже если внешний фаервол блокирует прямые атаки на порты IPsec, внутренние сервисы остаются вектором угрозы. Локальный пользователь может инициировать создание сокетов и управление памятью.
Компрометация веб-приложения с правами непривилегированного пользователя может стать началом цепочки до root-доступа. Уязвимость позволяет выйти за пределы изоляции процесса.
Изменение области действия в векторе CVSS указывает на влияние на ресурсы за пределами сетевого компонента. Атака на подсистему сети компрометирует данные приложений и баз данных.
Серверы в демилитаризованных зонах (DMZ) и маршрутизаторы требуют первоочередной проверки. Трафик ESP здесь наиболее вероятен, а последствия взлома критичны для всей инфраструктуры.
Как проверить сервер
Первый шаг — инвентаризация версий ядер. Команда uname -r показывает текущую версию, но для точного определения статуса нужно сверяться с бюллетенями безопасности дистрибутива.
Для российских ОС, таких как Astra Linux, ALT Linux, RED OS и ROSA, номер ядра может не совпадать с upstream-версией. Отсутствие публичного объявления о закрытии CVE означает, что система уязвима.
Проверьте загрузку модулей командой lsmod | grep -E 'esp|ipsec|xfrm'. Наличие esp4, esp6 или xfrm_user в памяти указывает на потенциальную подверженность атаке.
Используйте команду ip xfrm state для просмотра активных состояний безопасности. Если вывод пуст, риск снижается, но не исчезает, так как локальный пользователь может создать новые ассоциации.
Автоматические сканеры уязвимостей могут пропустить логические ошибки типа DirtyFrag. Ручная проверка конфигурации и версий остается обязательной для комплексной оценки.
Какие временные меры использовать
Если обновление ядра невозможно прямо сейчас, снизьте поверхность атаки. Временное отключение модулей esp4, esp6 и rxrpc устраняет вектор эксплуатации, но прерывает активные соединения.
Команда rmmod esp4 выгрузит модуль IPsec для IPv4. Этот шаг должен быть согласован с владельцами бизнес-процессов, так как нарушит работу VPN-туннелей.
Более мягкая мера — ограничение прав на создание IPsec-ассоциаций. Убедитесь, что только привилегированные пользователи могут управлять политиками xfrm.
Проверьте настройки CAP_NET_ADMIN и отзовите права у процессов, которым они не нужны для работы. Это усложнит задачу злоумышленнику по созданию необходимых сокетов.
Долгосрочный план включает регулярное обновление ядра. Патчи уже доступны в стабильном репозитории. Обновление требует перезагрузки сервера, так как изменения не вступают в силу для запущенных процессов.
IT For Prof проверяет Linux-инфраструктуру и помогает не откладывать патчинг критических уязвимостей ядра. Своевременная проверка конфигурации и установка обновлений защищают инфраструктуру от повышения привилегий.