Ambas vulnerabilidades de escalada de privilegios se deben a errores en el manejo por parte del kernel de la caché de páginas almacenada en la memoria, lo que permite a usuarios no confiables modificarla. Se dirigen a cachés en la red y componentes de manejo de fragmentos de memoria. Específicamente, CVE-2026-43284 ataca los procesos esp4 y esp6(), y CVE-2026-43500 ataca a rxrpc. El CopyFail de la semana pasada aprovechó una caché de página incorrecta en el proceso de plantilla de autenticación AEAD, que se utiliza para números de secuencia IPsec extendidos. La vulnerabilidad de 2022 llamada Dirty Pipe también se debe a una falla que permite a los atacantes sobrescribir el caché de la página.
Investigadores de la empresa de seguridad Automox escribir:
Dirty Frag pertenece a la misma familia de errores que Dirty Pipe y Copy Fail, pero sus objetivos fracción miembros del núcleo estructura sk_buff que tubo_buffer. El exploit utiliza empalme() para colocar una referencia a una página de caché de página de solo lectura (por ejemplo, /etc/contraseña o /usr/bin/su) en el fracción ranura del lado del remitente skb. Luego, el código del kernel del lado del receptor realiza operaciones criptográficas en el fragmento, modificando el caché de la página en la RAM. Cualquier lectura posterior del archivo verá la versión dañada, incluso si el atacante solo tiene acceso de lectura.
CVE-2026-43284 se descubrió en el proceso esp_input() en la ruta de recepción de IPsec ESP. Cuando el objeto skb no es lineal pero no tiene una lista de fragmentos, el código omitirá skb_cow_data() y descifrará el AEAD en su lugar en el fragmento incrustado. Desde allí, un atacante puede controlar el desplazamiento del archivo y el valor de 4 bytes de cada almacenamiento.
CVE-2026-43500, mientras tanto, reside en rxkad_verify_packet_1(). Este proceso descifra la carga útil de RxRPC mediante un proceso de bloque único. La página de empalme se convierte en el origen y el destino. Eso, junto con una clave de descifrado extraída libremente usando add_key (rxrpc), permite a un atacante reescribir el contenido en la memoria.
Cualquier exploit utilizado de forma aislada no es fiable. Algunas configuraciones de Ubuntu usan AppArmor para evitar que usuarios que no son de confianza creen contenido de espacio de nombres. Esto, a su vez, neutraliza la técnica ESP. La mayoría de las otras distribuciones de forma predeterminada no ejecutan rxrpc.ko, que neutraliza el brazo RxRPC. Sin embargo, cuando se combinaron, estos dos exploits permitieron a los atacantes obtener raíces en todas las distribuciones importantes que probó Kim. Una vez que se ejecuta el exploit, un atacante puede utilizar el acceso SSH, la ejecución de web-shell, el escape de contenedores o comprometer una cuenta con pocos privilegios.
“Dirty Frag se destaca por introducir múltiples rutas de ataque al kernel que involucran los componentes de red rxrpc y esp/xfrm para aumentar la confiabilidad del exploit”, investigadores de Microsoft. escribir. “En lugar de depender de ventanas de tiempo estrechas o condiciones de corrupción inestables a menudo asociadas con vulnerabilidades de escalada de privilegios locales de Linux, Dirty Frag parece estar diseñado para mejorar la coherencia en entornos vulnerables”.
Investigador en Wiz de Google dicho Será menos probable que los exploits escapen de entornos en contenedores como Kubernetes con configuraciones de seguridad predeterminadas. “Sin embargo, los riesgos siguen siendo importantes para las máquinas virtuales o entornos menos restringidos”.
La mejor respuesta para cualquiera que use Linux es instalar el parche inmediatamente. Si bien la solución puede requerir un reinicio, la protección contra una amenaza tan grave como Dirty Frag supera el impacto de la interrupción. Cualquiera que no pueda realizar la instalación inmediatamente debe seguir los pasos de mitigación enumerados en la publicación vinculada anteriormente. Se pueden encontrar guías adicionales. Aquí.
