Noua amenințare, cunoscută sub numele de Dirty Frag, permite utilizatorilor cu privilegii reduse, inclusiv celor care folosesc mașini virtuale, să controleze serverele la nivel de root. Atacurile sunt deosebit de periculoase în medii partajate, unde un server este utilizat de mai multe părți. Hackerii pot, de asemenea, să obțină acces root atâta timp cât au acces la un alt exploit care le oferă un punct de sprijin în mașină. Codul de exploit a fost scurs online acum trei zile și funcționează fiabil pe aproape toate distribuțiile Linux. Microsoft a indicat că a observat semne că hackerii experimentează cu Dirty Frag în mediul online.
Exploitul scurs este determinist, adică funcționează exact la fel de fiecare dată când este executat și pe diferite distribuții Linux. Nu provoacă prăbușiri, fiind astfel discret în funcționare. O vulnerabilitate cunoscută sub numele de Copy Fail, dezvăluită săptămâna trecută și pentru care nu existau patch-uri disponibile pentru utilizatorii finali, posedă aceleași caracteristici.
„Vulnerabilitatea ‘Dirty Frag’ prezintă o amenințare imediată și semnificativă pentru sistemele Linux, deoarece permite utilizatorilor neautorizați să obțină acces root prin exploatarea unor defecte nepatch-uite ale kernelului,” au scris luni cercetătorii de la firma de securitate Aviatrix. „Cu exploit-uri de concept demonstrativ disponibile public și semne de exploatare limitată în mediul online, organizațiile trebuie să acționeze rapid pentru a aplica patch-uri și a implementa măsuri de atenuare pentru a proteja sistemele lor de un posibil compromis.”
Dirty Frag a fost descoperit și dezvăluit săptămâna trecută de cercetătorul Hyunwoo Kim. Exploitul leagă codul pentru exploatarea a două vulnerabilități—identificate ca CVE-2026-43284 și CVE-2026-43500. La scurt timp după dezvăluire, cineva a scurs detalii cheie, făcând efectiv vulnerabilitatea un zero-day. Cu aceasta, Kim a publicat codul sursă pentru exploit-ul de concept demonstrativ pe care l-a dezvoltat. Deși ambele vulnerabilități au fost patch-uite în kernelul Linux, niciuna dintre distribuții nu a incorporat încă remedierea.
La momentul publicării acestui post, mai mulți distribuitori au lansat patch-uri. Printre distribuitorii cunoscuți se numără Debian, AlmaLinux și Fedora. Persoanele interesate de alte distribuții ar trebui să verifice cu furnizorul oficial.
Ambele vulnerabilități de escaladare a privilegiilor provin din erori în gestionarea de către kernel a cache-urilor de pagină stocate în memorie, permitând utilizatorilor neîncrezători să le modifice. Acestea țintesc cache-uri în componentele de gestionare a rețelei și fragmentării memoriei. Specific, CVE-2026-43284 atacă procesele esp4 și esp6 (), iar CVE-2026-43500 se concentrează pe rxrpc. Vulnerabilitatea CopyFail de săptămâna trecută a exploatat cache-urile de pagină defectuoase în procesul template authencesn AEAD, care este utilizat pentru numerele de secvență extinse IPsec. O vulnerabilitate din 2022 numită Dirty Pipe a provenit, de asemenea, din defecte care permit atacatorilor să suprascrie cache-urile de pagină.
Sursa: Ars Tehnica Technology
Poll: Care este cea mai importantă măsură pe care ar trebui să o ia organizațiile pentru a se proteja împotriva amenințării "Dirty Frag"?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply