Dirty Frag: Nova Vulnerabilidade no Kernel Linux Permite Escalação de Privilégios para Root
Uma nova vulnerabilidade de escalação de privilégios local (LPE), apelidada de **Dirty Frag**, foi descoberta no kernel Linux. Essa falha permite que usuários sem privilégios obtenham acesso root em várias distribuições Linux. Ela é considerada uma sucessora da **Copy Fail** e compartilha semelhanças com a **Dirty Pipe**.
Detalhes emergiram sobre uma nova vulnerabilidade de escalação de privilégios local (LPE) não corrigida que afeta o kernel Linux.
Apelidada de **Dirty Frag**, ela foi [descrita](https://www.openwall.com/lists/oss-security/2026/05/07/8) como uma sucessora da **Copy Fail** (CVE-2026-31431, pontuação CVSS: 7.8), uma falha LPE recentemente divulgada que afeta o kernel Linux e que desde então tem sido ativamente explorada na natureza. A vulnerabilidade foi reportada aos mantenedores do kernel Linux em 30 de abril de 2026.
"Dirty Frag é uma vulnerabilidade (classe) que alcança privilégios de root na maioria das distribuições Linux ao encadear a vulnerabilidade xfrm-ESP Page-Cache Write e a vulnerabilidade RxRPC Page-Cache Write", disse o pesquisador de segurança Hyunwoo Kim (@v4bel) em um artigo.
"Dirty Frag é um caso que estende a classe de bugs à qual [Dirty Pipe](https://thehackernews.com/2022/03/researchers-warn-of-linux-kernel-dirty.html) e [Copy Fail](https://thehackernews.com/2026/04/new-linux-copy-fail-vulnerability.html) pertencem. Como é um bug lógico determinístico que não depende de uma janela de tempo, nenhuma condição de corrida é necessária, o kernel não trava quando o exploit falha e a taxa de sucesso é muito alta."
A vulnerabilidade atualmente não possui um identificador CVE, pois o embargo teria sido quebrado após informações detalhadas e um exploit para a vulnerabilidade xfrm-ESP Page-Cache Write serem publicados publicamente por terceiros não relacionados.
### Impacto
A exploração bem-sucedida da falha poderia permitir que um usuário local sem privilégios obtivesse acesso root elevado na maioria das distribuições Linux, incluindo Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 e Fedora 44.
De acordo com o pesquisador, a vulnerabilidade xfrm-ESP Page-Cache Write foi introduzida em um [commit de código fonte](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cac2661c53f3) feito em janeiro de 2017, enquanto a vulnerabilidade RxRPC Page-Cache Write foi [introduzida](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2dc334f1a63a) em junho de 2023. Curiosamente, o mesmo commit de 17 de janeiro de 2017 foi a causa raiz por trás de outro overflow de buffer (CVE-2022-27666, pontuação CVSS: 7.8) que afetou várias distribuições Linux.
Xfrm-ESP Page-Cache Write, que está enraizado no subsistema IPSec (xfrm), fornece aos atacantes um primitivo de escrita de 4 bytes como o Copy Fail e sobrescreve uma pequena quantidade no page cache do kernel.
No entanto, o exploit exige que o usuário sem privilégios crie um namespace, um passo que é bloqueado pelo **Ubuntu** através do [AppArmor](https://ubuntu.com/server/docs/how-to/security/apparmor). Nesse ambiente, o xfrm-ESP Page-Cache Write não pode ser acionado. É aí que entra o segundo exploit, RxRPC Page-Cache Write.
"RxRPC Page-Cache Write não requer o privilégio de criar um namespace, mas o módulo rxrpc.ko em si não está incluído na maioria das distribuições", explicou Kim. "Por exemplo, a compilação padrão do RHEL 10.1 não envia rxrpc.ko. No entanto, no Ubuntu, o módulo rxrpc.ko é carregado por padrão."
"Encadear as duas variantes faz com que os pontos cegos se cubram. Em um ambiente onde a criação de namespace de usuário é permitida, o exploit ESP é executado primeiro. Inversamente, no Ubuntu, onde a criação de namespace de usuário é bloqueada, mas o rxrpc.ko é compilado, o exploit RxRPC funciona."
**CloudLinx**, em um [aviso](https://blog.cloudlinux.com/dirty-frag-mitigation-and-kernel-update) próprio, disse que a falha reside no "ESP-in-UDP MSG_SPLICE_PAGES no-COW fast path e é alcançável através da interface netlink de usuário XFRM."
"O bug reside nos caminhos rápidos de descriptografia in-place de esp4, esp6 e rxrpc: quando um buffer de socket carrega fragmentos paginados que não são de propriedade exclusiva do kernel (por exemplo, páginas de pipe anexadas via splice(2)/sendfile(2)/MSG_SPLICE_PAGES), o caminho de recebimento descriptografa diretamente sobre essas páginas com suporte externo, expondo ou corrompendo texto simples que um processo sem privilégios ainda mantém uma referência", disse a **AlmaLinux** [aqui](https://almalinux.org/blog/2026-05-07-dirty-frag/).
Avisos semelhantes foram emitidos por outras distribuições Linux -
* [Amazon Linux](https://aws.amazon.com/security/security-bulletins/rss/2026-027-aws/)
* Debian ([xfrm-ESP Page-Cache Write](https://security-tracker.debian.org/tracker/CVE-2026-43284), [RxRPC Page-Cache Write](https://security-tracker.debian.org/tracker/CVE-2026-43500))
* [Red Hat Enterprise Linux](https://access.redhat.com/security/vulnerabilities/RHSB-2026-003)
* [Rocky Linux](https://forums.rockylinux.org/t/dirty-frag-vulnerability-reported-for-linux-kernel-cve-2026-43284-cve-2026-43500/20430)
* [SUSE](https://www.suse.com/c/addressing-copy-fail2-aka-dirtyfrag-in-suse-virtualization/)
Adicionando urgência está o lançamento de um proof-of-concept (PoC) funcional que pode ser explorado para obter root em um único comando. Até que os patches estejam disponíveis, é aconselhável bloquear os módulos esp4, esp6 e rxrpc para que não possam ser carregados -
bash
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Vale mencionar aqui que Dirty Frag, apesar de compartilhar algumas sobreposições com Copy Fail, pode ser explorado independentemente de o módulo algif_aead do kernel Linux estar habilitado ou não.
"Observe que Dirty Frag pode ser acionado independentemente de o módulo algif_aead estar disponível", disse o pesquisador. "Em outras palavras, mesmo em sistemas onde a mitigação Copy Fail publicamente conhecida (blacklist algif_aead) é aplicada, seu Linux ainda é vulnerável a Dirty Frag."
### Atualização
A vulnerabilidade xfrm-ESP Page-Cache Write recebeu o [CVE-2026-43284](https://nvd.nist.gov/vuln/detail/CVE-2026-43284) e foi corrigida no mainline em [f4c50a4034e6](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f4c50a4034e6). A vulnerabilidade RxRPC Page-Cache Write recebeu o identificador CVE-2026-43500, embora nenhum patch esteja disponível no momento da escrita.
"Em hosts que não executam cargas de trabalho de contêiner, a vulnerabilidade permite que um usuário local eleve privilégios para o usuário root", disse o **Ubuntu** [aqui](https://ubuntu.com/blog/dirty-frag-linux-vulnerability-fixes-available). "Em implantações de contêiner que podem executar cargas de trabalho arbitrárias de terceiros, a vulnerabilidade pode adicionalmente facilitar cenários de escape de contêiner, além da escalação de privilégios local no host."
Em um aviso, a **Wiz**, de propriedade do **Google**, descreveu Dirty Frag como uma cadeia de vulnerabilidades que combina dois primitivos de escrita de page-cache no kernel Linux: um no subsistema xfrm-ESP (IPsec) e outro no RxRPC.
"Ambas as falhas permitem a modificação de memória com suporte de page-cache que não é exclusivamente de propriedade do kernel, permitindo a corrupção de arquivos sensíveis e, finalmente, a escalação de privilégios", disseram os pesquisadores Merav Bar e Rami McCarthy [aqui](https://www.wiz.io/blog/dirty-frag-linux-kernel-local-privilege-escalation-via-esp-and-rxrpc). "Ao contrário de exploits baseados em condições de corrida, esta classe de bugs é determinística e altamente confiável, semelhante a vulnerabilidades anteriores como Copy Fail e Dirty Pipe."
"Para realizar este exploit, um atacante precisa de duas coisas: acesso a interfaces de kernel vulneráveis específicas e a capacidade de manipular buffers com suporte de página (por exemplo, através de caminhos relacionados a splice()). No entanto, há um obstáculo significativo: o exploit geralmente requer permissões de sistema de alto nível, como CAP_NET_ADMIN. Isso significa que a exploração é menos provável em ambientes conteinerizados endurecidos (por exemplo, Kubernetes com perfis seccomp padrão)."
### Exploração Limitada na Natureza Observada
A **Microsoft** disse que está observando atualmente atividade limitada na natureza para obter escalação de privilégios usando o comando "su" (também conhecido como substitute user), que observou "pode ser indicativo de técnicas associadas a 'Dirty Frag' ou '[Copy Fail](https://kb.cert.org/vuls/id/260001)'".
"A campanha mostra uma linha do tempo de ataque sequencial onde uma conexão externa obtém acesso SSH e gera um shell interativo, seguido pelo staging e execução de um binário ELF (./update) que aciona imediatamente uma escalação de privilégios via 'su'", acrescentou a **Microsoft** [aqui](https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/).
Após obter acesso elevado, os atores de ameaça desconhecidos foram encontrados modificando um arquivo de autenticação GLPI LDAP, realizando reconhecimento do diretório GLPI e configuração do sistema, e inspecionando um artefato de exploit. Esta etapa é seguida pelo acesso dos atacantes a dados sensíveis e interação com vários arquivos de sessão PHP, incluindo del