Dirty Frag: Nova Vulnerabilidade Linux Permite Escalada de Privilégios em Diversas Distribuições
Uma nova vulnerabilidade, apelidada de Dirty Frag, permite que usuários locais obtenham acesso root em várias distribuições Linux. A falha, que combina dois bugs do kernel, já teve seu código de prova de conceito divulgado e está sendo explorada em ataques reais.
MundiX News·13 de maio de 2026·3 min de leitura·👁 2 views
A comunidade de segurança cibernética está em alerta com a descoberta da vulnerabilidade Dirty Frag, uma falha crítica que permite a escalada de privilégios em diversas distribuições Linux. A vulnerabilidade, que combina os bugs CVE-2026-43284 e CVE-2026-43500, afeta os componentes xfrm-ESP (IPsec) e RxRPC do kernel Linux, resultando em uma potencial brecha de segurança significativa.
A Dirty Frag, descoberta pelo pesquisador de segurança Hyunwoo Kim, explora erros no tratamento do cache de páginas na memória. A exploração da vulnerabilidade permite que um usuário local modifique o conteúdo de arquivos protegidos diretamente na RAM, mesmo que o atacante tenha apenas acesso de leitura. A técnica, que se assemelha às vulnerabilidades Dirty Pipe e CopyFail, envolve o uso da chamada de sistema splice() para injetar um link para um arquivo, como /etc/passwd ou /usr/bin/su, em uma página de cache. Operações criptográficas do kernel então modificam esses dados diretamente na memória, alterando o conteúdo dos arquivos para todos os processos subsequentes, sem a necessidade de permissões de escrita.
A Microsoft já detectou sinais de exploração da Dirty Frag em ataques reais, com os invasores explorando a vulnerabilidade após obter acesso inicial por meio de SSH, web shells, fugas de contêineres ou contas de serviço comprometidas. Após a escalada de privilégios, os invasores modificaram arquivos GLPI, investigaram a configuração do sistema e interagiram com sessões PHP. Embora a exploração da Dirty Frag possa ser mitigada em ambientes como contêineres hardened e Kubernetes com configurações de segurança padrão, a ameaça permanece séria para máquinas virtuais e ambientes menos isolados. A publicação do código de prova de conceito (PoC) e a falta de patches em muitas distribuições tornam a situação ainda mais crítica, caracterizando a vulnerabilidade como um 0-day. Para mitigar temporariamente o risco, os pesquisadores recomendam desabilitar os módulos vulneráveis do kernel, embora isso possa afetar o funcionamento de VPNs IPsec e sistemas de arquivos AFS.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A comunidade de segurança cibernética está em alerta com a descoberta da vulnerabilidade Dirty Frag, uma falha crítica que permite a escalada de privilégios em diversas distribuições Linux. A vulnerabilidade, que combina os bugs CVE-2026-43284 e CVE-2026-43500, afeta os componentes xfrm-ESP (IPsec) e RxRPC do kernel Linux, resultando em uma potencial brecha de segurança significativa.
A Dirty Frag, descoberta pelo pesquisador de segurança Hyunwoo Kim, explora erros no tratamento do cache de páginas na memória. A exploração da vulnerabilidade permite que um usuário local modifique o conteúdo de arquivos protegidos diretamente na RAM, mesmo que o atacante tenha apenas acesso de leitura. A técnica, que se assemelha às vulnerabilidades Dirty Pipe e CopyFail, envolve o uso da chamada de sistema splice() para injetar um link para um arquivo, como /etc/passwd ou /usr/bin/su, em uma página de cache. Operações criptográficas do kernel então modificam esses dados diretamente na memória, alterando o conteúdo dos arquivos para todos os processos subsequentes, sem a necessidade de permissões de escrita.
A Microsoft já detectou sinais de exploração da Dirty Frag em ataques reais, com os invasores explorando a vulnerabilidade após obter acesso inicial por meio de SSH, web shells, fugas de contêineres ou contas de serviço comprometidas. Após a escalada de privilégios, os invasores modificaram arquivos GLPI, investigaram a configuração do sistema e interagiram com sessões PHP. Embora a exploração da Dirty Frag possa ser mitigada em ambientes como contêineres hardened e Kubernetes com configurações de segurança padrão, a ameaça permanece séria para máquinas virtuais e ambientes menos isolados. A publicação do código de prova de conceito (PoC) e a falta de patches em muitas distribuições tornam a situação ainda mais crítica, caracterizando a vulnerabilidade como um 0-day. Para mitigar temporariamente o risco, os pesquisadores recomendam desabilitar os módulos vulneráveis do kernel, embora isso possa afetar o funcionamento de VPNs IPsec e sistemas de arquivos AFS.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
