Vulnerabilidade DirtyClone no Linux Permite Elevação de Privilégios para Root
Pesquisadores descobriram a vulnerabilidade DirtyClone no kernel Linux, que permite a um atacante local elevar seus privilégios para root. A falha explora o mecanismo de rede zero-copy para modificar o conteúdo do page cache, afetando a integridade de binários privilegiados.
MundiX News·30 de junho de 2026·6 min de leitura·👁 1 views
Pesquisadores da empresa JFrog descobriram uma vulnerabilidade crítica no kernel Linux, denominada DirtyClone, e já disponibilizaram um Proof-of-Concept (PoC) exploit. Essa falha permite que um usuário local, através da manipulação de um pacote de rede clonado, altere o conteúdo do page cache. O resultado é a elevação de privilégios para o nível de root, concedendo controle total sobre o sistema.
A vulnerabilidade, identificada pelo código CVE-2026-43503 e com uma pontuação CVSS de 8.8, foi corrigida e integrada à linha principal do kernel em 21 de maio de 2026, com a versão Linux 7.1-rc5 lançada em 24 de maio. O patch também foi retroativamente aplicado às branches estáveis e de Long-Term Support (LTS).
Segundo os pesquisadores, a DirtyClone pertence à família de vulnerabilidades DirtyFrag e explora o mecanismo de rede zero-copy. Neste modelo, o buffer de rede referencia diretamente o page cache, eliminando a necessidade de o kernel criar cópias separadas dos dados. Ao clonar um pacote, as funções __pskb_copy_fclone() e skb_shift() podem falhar em manter um flag de serviço crucial. Esse flag indica que os fragmentos do pacote ainda estão referenciando páginas do file cache. Sem esse flag, o kernel deixa de considerar que os fragmentos do pacote estão vinculados ao page cache, permitindo que a pilha de rede modifique essas páginas.
No PoC exploit, os pesquisadores utilizam um binário privilegiado, como o /usr/bin/su. O conteúdo deste binário é primeiramente carregado no page cache. Em seguida, o atacante constrói um pacote de rede cujos fragmentos referenciam as mesmas páginas do cache. O atacante então força o kernel a clonar o pacote e processá-lo através de um túnel IPsec local. Durante o processo de descriptografia, o kernel escreve os bytes preparados pelo atacante diretamente nas páginas do cache, sobrescrevendo as instruções responsáveis pela verificação de autenticação no su. Como resultado, a execução subsequente do binário concede ao atacante acesso root.
É importante notar que o arquivo no disco permanece inalterado; apenas sua cópia no page cache é modificada. Isso significa que ferramentas de verificação de integridade de arquivos baseadas em disco não detectam a adulteração. Após uma reinicialização, as páginas de cache modificadas são descartadas, e na próxima vez que o arquivo for acessado, o sistema carregará o conteúdo original do disco. No entanto, até esse ponto, o atacante já terá obtido controle total do sistema.
A exploração da DirtyClone requer que o atacante possua a capacidade CAP_NET_ADMIN, que permite operações administrativas de rede, incluindo a configuração de um túnel IPsec local. Em distribuições como Debian e Fedora, os user namespaces não privilegiados geralmente estão habilitados por padrão, permitindo que um usuário local comum obtenha a privilégio necessário dentro de um novo namespace. No entanto, em versões mais recentes do Ubuntu (24.04 e posteriores), a criação desses namespaces é restrita pelo AppArmor, o que bloqueia essa rota de exploração padrão.
Independentemente das restrições de user namespace, o page cache é compartilhado por todo o host. Portanto, a escrita em suas páginas a partir de um namespace ou contêiner afeta todos os processos no sistema. Isso torna a DirtyClone particularmente perigosa para servidores multitenant, CI runners, hosts de contêineres e clusters Kubernetes, onde usuários não confiáveis podem criar seus próprios namespaces. Esta é a quarta vulnerabilidade desse tipo descoberta nos últimos meses, seguindo as falhas Copy Fail (CVE-2026-31431), DirtyFrag (CVE-2026-43284 e CVE-2026-43500) e Fragnesia (CVE-2026-46300).
Recomenda-se que os usuários atualizem o kernel de seus sistemas o mais rápido possível. Como medida de mitigação temporária, é possível desabilitar user namespaces não privilegiados ou bloquear os módulos esp4, esp6 e rxrpc. O bloqueio desses módulos desativará o IPsec e o AFS, mas só será eficaz se o suporte a eles estiver implementado como módulos carregáveis e não embutido diretamente no kernel.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da empresa JFrog descobriram uma vulnerabilidade crítica no kernel Linux, denominada DirtyClone, e já disponibilizaram um Proof-of-Concept (PoC) exploit. Essa falha permite que um usuário local, através da manipulação de um pacote de rede clonado, altere o conteúdo do page cache. O resultado é a elevação de privilégios para o nível de root, concedendo controle total sobre o sistema.
A vulnerabilidade, identificada pelo código CVE-2026-43503 e com uma pontuação CVSS de 8.8, foi corrigida e integrada à linha principal do kernel em 21 de maio de 2026, com a versão Linux 7.1-rc5 lançada em 24 de maio. O patch também foi retroativamente aplicado às branches estáveis e de Long-Term Support (LTS).
Segundo os pesquisadores, a DirtyClone pertence à família de vulnerabilidades DirtyFrag e explora o mecanismo de rede zero-copy. Neste modelo, o buffer de rede referencia diretamente o page cache, eliminando a necessidade de o kernel criar cópias separadas dos dados. Ao clonar um pacote, as funções __pskb_copy_fclone() e skb_shift() podem falhar em manter um flag de serviço crucial. Esse flag indica que os fragmentos do pacote ainda estão referenciando páginas do file cache. Sem esse flag, o kernel deixa de considerar que os fragmentos do pacote estão vinculados ao page cache, permitindo que a pilha de rede modifique essas páginas.
No PoC exploit, os pesquisadores utilizam um binário privilegiado, como o /usr/bin/su. O conteúdo deste binário é primeiramente carregado no page cache. Em seguida, o atacante constrói um pacote de rede cujos fragmentos referenciam as mesmas páginas do cache. O atacante então força o kernel a clonar o pacote e processá-lo através de um túnel IPsec local. Durante o processo de descriptografia, o kernel escreve os bytes preparados pelo atacante diretamente nas páginas do cache, sobrescrevendo as instruções responsáveis pela verificação de autenticação no su. Como resultado, a execução subsequente do binário concede ao atacante acesso root.
É importante notar que o arquivo no disco permanece inalterado; apenas sua cópia no page cache é modificada. Isso significa que ferramentas de verificação de integridade de arquivos baseadas em disco não detectam a adulteração. Após uma reinicialização, as páginas de cache modificadas são descartadas, e na próxima vez que o arquivo for acessado, o sistema carregará o conteúdo original do disco. No entanto, até esse ponto, o atacante já terá obtido controle total do sistema.
A exploração da DirtyClone requer que o atacante possua a capacidade CAP_NET_ADMIN, que permite operações administrativas de rede, incluindo a configuração de um túnel IPsec local. Em distribuições como Debian e Fedora, os user namespaces não privilegiados geralmente estão habilitados por padrão, permitindo que um usuário local comum obtenha a privilégio necessário dentro de um novo namespace. No entanto, em versões mais recentes do Ubuntu (24.04 e posteriores), a criação desses namespaces é restrita pelo AppArmor, o que bloqueia essa rota de exploração padrão.
Independentemente das restrições de user namespace, o page cache é compartilhado por todo o host. Portanto, a escrita em suas páginas a partir de um namespace ou contêiner afeta todos os processos no sistema. Isso torna a DirtyClone particularmente perigosa para servidores multitenant, CI runners, hosts de contêineres e clusters Kubernetes, onde usuários não confiáveis podem criar seus próprios namespaces. Esta é a quarta vulnerabilidade desse tipo descoberta nos últimos meses, seguindo as falhas Copy Fail (CVE-2026-31431), DirtyFrag (CVE-2026-43284 e CVE-2026-43500) e Fragnesia (CVE-2026-46300).
Recomenda-se que os usuários atualizem o kernel de seus sistemas o mais rápido possível. Como medida de mitigação temporária, é possível desabilitar user namespaces não privilegiados ou bloquear os módulos esp4, esp6 e rxrpc. O bloqueio desses módulos desativará o IPsec e o AFS, mas só será eficaz se o suporte a eles estiver implementado como módulos carregáveis e não embutido diretamente no kernel.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
