Une vulnérabilité d'escalade de privilèges locale récemment corrigée dans le module rxgk du noyau **Linux** dispose désormais d'une preuve de concept d'exploit permettant aux attaquants d'obtenir un accès root sur certains systèmes **Linux**. ### Détails de DirtyDecrypt Nommée DirtyDecrypt et également connue sous le nom de DirtyCBC, cette faille de sécurité a été découverte et signalée de manière autonome par l'équipe de sécurité **V12** plus tôt ce mois-ci. Les mainteneurs les ont informés qu'il s'agissait d'un doublon qui avait déjà été corrigé dans la branche principale. « Nous l'avons découverte et signalée le 9 mai 2026, mais les mainteneurs nous ont informés qu'il s'agissait d'un doublon », a déclaré **V12**. « Il s'agit d'une écriture dans la page cache rxgk due à l'absence de garde COW dans rxgk_decrypt_skb. Voir poc.c pour plus de détails. » Bien qu'il n'y ait pas d'identifiant **CVE** officiel associé à cette faille de sécurité, selon **Will Dormann** (analyste principal de vulnérabilités chez **Tharros**), les informations des chercheurs en sécurité correspondent aux détails de la **CVE-2026-31635**, qui a été corrigée le 25 avril. ### Surface d'attaque L'exploitation réussie nécessite l'exécution d'un noyau **Linux** avec l'option de configuration `CONFIG_RXGK`, qui active le support de sécurité RxGK pour le client Andrew File System (**AFS**) et le transport réseau. Cela limite la surface d'attaque aux distributions **Linux** qui suivent de près les dernières versions du noyau amont, notamment **Fedora**, **Arch Linux** et **openSUSE Tumbleweed**. Cependant, la preuve de concept d'exploit de **V12** n'a été testée que sur **Fedora** et le noyau **Linux** principal.  *Test d'exploit DirtyDecrypt sur Fedora (Will Dormann)* ### Vulnérabilités similaires DirtyDecrypt appartient à la même classe de vulnérabilités que plusieurs autres failles d'escalade de privilèges root divulguées ces dernières semaines, notamment Dirty Frag, Fragnesia et Copy Fail. ### Atténuation Il est conseillé aux utilisateurs **Linux** des distributions potentiellement affectées par DirtyDecrypt d'installer les dernières mises à jour du noyau dès que possible. Cependant, ceux qui ne peuvent pas patcher immédiatement leurs appareils devraient utiliser la même atténuation que pour Dirty Frag (cela cassera également les VPN IPsec et les systèmes de fichiers réseau distribués **AFS**) : ```sh sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true" ``` ### Exploitation active Ces divulgations font suite à de récents rapports indiquant que des attaquants exploitent activement la vulnérabilité Copy Fail dans la nature. La **Cybersecurity and Infrastructure Security Agency (CISA)** a ajouté Copy Fail à sa liste des failles exploitées dans des attaques le 1er mai et a ordonné aux agences fédérales de sécuriser leurs appareils **Linux** dans les deux semaines, soit avant le 15 mai. « Ce type de vulnérabilité est un vecteur d'attaque fréquent pour les cybercriminels et présente des risques importants pour l'entreprise fédérale », a averti l'agence américaine de cybersécurité. En avril, les distributions **Linux** ont déployé des correctifs pour une autre vulnérabilité d'escalade de privilèges root (surnommée Pack2TheRoot) dans le démon PackageKit qui était passée inaperçue pendant près de 12 ans.