- Dirty Frag é uma falha de escalonamento de privilégios local que manipula caminhos de memória no kernel de rede, permitindo que uma conta sem privilégios obtenha root.
- Ataca dois componentes de rede: xfrm-ESP e RxRPC, e pode modificar dados em memória sem tocar no sistema de arquivos.
- Código de exploração público já circula; patchs estão em andamento, com o xfrm-ESP já corrigido no kernel principal em 8 de maio; o RxRPC ainda está em avaliação.
- Atinge diversas distribuições Linux, incluindo Ubuntu, Red Hat, CentOS, AlmaLinux, Fedora e openSUSE; administradores devem atualizar os kernels assim que os pacotes estiverem disponíveis e aplicar medidas de mitigação.
- Mitigações temporárias recomendadas: bloquear esp4, esp6 e rxrpc via modprobe, com instruções específicas para Debian/Ubuntu, Red Hat e SUSE; reboot pode ser necessário para aplicar as mudanças.
Dirty Frag é uma falha de escalonamento de privilégios no kernel Linux que permite a um usuário sem privilégios ganhar acesso root. O problema envolve caminhos de código de redes e autenticação, explorando a memória do kernel e o cache de páginas.
A vulnerabilidade foi identificada por Hyunwoo Kim e ficou sujeita a divulgação coordenada. Informações técnicas foram publicadas em maio, com exploração de um componente específico do xfrm-ESP e do RxRPC. Patches upstream estão em andamento, mas o fechamento completo ainda não ocorreu.
Analistas apontam que a quebra afeta diversos ambientes Linux, desde servidores até hosts de containers e instâncias na nuvem. Distribuições como Ubuntu, Red Hat, CentOS, AlmaLinux, Fedora e openSUSE podem estar suscetíveis, dependendo das versões em uso.
Quem está em risco inclui organizações que rodam infraestrutura Linux on-premise, em nuvem ou em contêineres. Em ambiente containerizado, há preocupação adicional com cenários de escape de container, dificultando a separação entre host e workloads.
O status atual aponta que o componente xfrm-ESP recebeu correção no kernel principal em 8 de maio, mas a correção precisa ser integrada aos ramos estáveis. O problema RxRPC ainda está sob avaliação, sem patch upstream finalizado até o momento.
O que fazer imediatamente
- Atualizar kernels para as versões mais recentes disponibilizadas pelos fornecedores.
- Bloquear módulos esp4, esp6 e rxrpc como medida temporária, sabendo que isso pode impactar VPNs IPsec e workloads AFS.
- Em ambientes críticos, reduzir atividades que dependem desses módulos até a atualização chegar.
Medidas por distro
Debian e Ubuntu: criar um arquivo de configuração para bloquear os módulos e regenerar initramfs. Unload dos módulos pode ser necessário; reboot pode ser exigido se aplicações já os utilizarem.
Red Hat, CentOS, Rocky, AlmaLinux: criar o arquivo de configuração com as linhas de bloqueio e descarregar os módulos. A mitigação pode exigir desativar IPsec e programas AFS temporariamente.
SUSE Linux: aplicar configuração similar para blacklists e impedir carga dos módulos até o patch chegar. O objetivo é interromper a exploração enquanto a atualização de kernel não está instalada.
Observação final
Administradores devem monitorar avisos dos fornecedores e aplicar patches assim que disponíveis. Caso haja qualquer confirmação de exploração ativa, a resposta institucional deve seguir as diretrizes de mitigação e atualização de forma rápida e coordenada.
Entre na conversa da comunidade