📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Surgiram detalhes sobre uma nova vulnerabilidade de escalonamento de privilégios locais (LPE) não corrigida que afeta o kernel do Linux.
Apelidado de Dirty Frag, ele foi descrito como um sucessor do Copy Fail (CVE-2026-31431, pontuação CVSS: 7,8), uma falha LPE recentemente divulgada que afeta o kernel Linux que desde então está sob exploração ativa em estado selvagem. A vulnerabilidade foi relatada aos mantenedores do kernel Linux em 30 de abril de 2026.
“Dirty Frag é uma vulnerabilidade (classe) que obtém privilégios de root na maioria das distribuições Linux encadeando a vulnerabilidade xfrm-ESP Page-Cache Write e a vulnerabilidade RxRPC Page-Cache Write”, disse o pesquisador de segurança Hyunwoo Kim (@v4bel) em um artigo.
"Dirty Frag é um caso que estende a classe de bug à qual Dirty Pipe e Copy Fail pertencem. Por ser um bug lógico determinístico que não depende de uma janela de tempo, nenhuma condição de corrida é necessária, o kernel não entra em pânico quando a exploração falha e a taxa de sucesso é muito alta."
A vulnerabilidade atualmente não possui um identificador CVE, pois o embargo teria sido quebrado depois que informações detalhadas e a exploração da vulnerabilidade xfrm-ESP Page-Cache Write foram publicadas publicamente por um terceiro não relacionado.
A exploração bem-sucedida da falha poderia permitir que um usuário local sem privilégios obtivesse acesso root elevado na maioria das distribuições Linux, incluindo Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 e Fedora 44.
De acordo com o pesquisador, a vulnerabilidade xfrm-ESP Page-Cache Write foi introduzida em um commit de código-fonte feito em janeiro de 2017, enquanto a vulnerabilidade RxRPC Page-Cache Write foi introduzida em junho de 2023. Curiosamente, o mesmo commit de 17 de janeiro de 2017 foi a causa raiz por trás de outro buffer overflow (CVE-2022-27666, pontuação CVSS: 7,8) que afetou várias distribuições Linux.
xfrm-ESP Page-Cache Write, que tem raiz no subsistema IPSec (xfrm), fornece aos invasores uma primitiva de armazenamento de 4 bytes, como Copy Fail, e sobrescreve uma pequena quantidade no cache de páginas do kernel.
No entanto, a exploração exige que o usuário sem privilégios crie um namespace, uma etapa que é bloqueada pelo Ubuntu por meio do AppArmor. Nesse ambiente, o xfrm-ESP Page-Cache Write não pode ser acionado. É aí que entra o segundo exploit, RxRPC Page-Cache Write.
“RxRPC Page-Cache Write não requer privilégio para criar um namespace, mas o módulo rxrpc.ko em si não está incluído na maioria das distribuições”, explicou Kim. "Por exemplo, a compilação padrão do RHEL 10.1 não vem com rxrpc.ko. No entanto, no Ubuntu, o módulo rxrpc.ko é carregado por padrão."
"Encadear as duas variantes faz com que os pontos cegos se cubram. Em um ambiente onde a criação de namespace de usuário é permitida, o exploit ESP é executado primeiro. Por outro lado, no Ubuntu, onde a criação de namespace de usuário é bloqueada, mas rxrpc.ko é construído, o exploit RxRPC funciona."
CloudLinx, em um comunicado próprio, disse que a falha reside no “caminho rápido ESP-in-UDP MSG_SPLICE_PAGES no-COW e é acessível através da interface netlink do usuário XFRM”.
"O bug reside nos caminhos rápidos de descriptografia no local de esp4, esp6 e rxrpc: quando um buffer de soquete carrega fragmentos paginados que não são de propriedade privada do kernel (por exemplo, páginas de canal anexadas via splice(2)/sendfile(2)/MSG_SPLICE_PAGES), o caminho de recebimento é descriptografado diretamente sobre essas páginas com suporte externo, expondo ou corrompendo o texto simples ao qual um processo sem privilégios ainda mantém uma referência," AlmaLinux disse.
Aumentando a urgência está o lançamento de uma prova de conceito (PoC) funcional que pode ser explorada para obter root em um único comando. Até que os patches estejam disponíveis, é aconselhável bloquear os módulos esp4, esp6 e rxrpc para que não possam ser carregados -
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Vale a pena mencionar aqui que Dirty Frag, apesar de compartilhar algumas sobreposições com Copy Fail, pode ser explorado independentemente de o módulo algif_aead do kernel Linux estar habilitado ou não.
“Observe que Dirty Frag pode ser acionado independentemente de o módulo algif_aead estar disponível”, disse o pesquisador. "Em outras palavras, mesmo em sistemas onde a mitigação de falha de cópia publicamente conhecida (lista negra algif_aead) é aplicada, seu Linux ainda é vulnerável ao Dirty Frag."
Apelidado de Dirty Frag, ele foi descrito como um sucessor do Copy Fail (CVE-2026-31431, pontuação CVSS: 7,8), uma falha LPE recentemente divulgada que afeta o kernel Linux que desde então está sob exploração ativa em estado selvagem. A vulnerabilidade foi relatada aos mantenedores do kernel Linux em 30 de abril de 2026.
“Dirty Frag é uma vulnerabilidade (classe) que obtém privilégios de root na maioria das distribuições Linux encadeando a vulnerabilidade xfrm-ESP Page-Cache Write e a vulnerabilidade RxRPC Page-Cache Write”, disse o pesquisador de segurança Hyunwoo Kim (@v4bel) em um artigo.
"Dirty Frag é um caso que estende a classe de bug à qual Dirty Pipe e Copy Fail pertencem. Por ser um bug lógico determinístico que não depende de uma janela de tempo, nenhuma condição de corrida é necessária, o kernel não entra em pânico quando a exploração falha e a taxa de sucesso é muito alta."
A vulnerabilidade atualmente não possui um identificador CVE, pois o embargo teria sido quebrado depois que informações detalhadas e a exploração da vulnerabilidade xfrm-ESP Page-Cache Write foram publicadas publicamente por um terceiro não relacionado.
A exploração bem-sucedida da falha poderia permitir que um usuário local sem privilégios obtivesse acesso root elevado na maioria das distribuições Linux, incluindo Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 e Fedora 44.
De acordo com o pesquisador, a vulnerabilidade xfrm-ESP Page-Cache Write foi introduzida em um commit de código-fonte feito em janeiro de 2017, enquanto a vulnerabilidade RxRPC Page-Cache Write foi introduzida em junho de 2023. Curiosamente, o mesmo commit de 17 de janeiro de 2017 foi a causa raiz por trás de outro buffer overflow (CVE-2022-27666, pontuação CVSS: 7,8) que afetou várias distribuições Linux.
xfrm-ESP Page-Cache Write, que tem raiz no subsistema IPSec (xfrm), fornece aos invasores uma primitiva de armazenamento de 4 bytes, como Copy Fail, e sobrescreve uma pequena quantidade no cache de páginas do kernel.
No entanto, a exploração exige que o usuário sem privilégios crie um namespace, uma etapa que é bloqueada pelo Ubuntu por meio do AppArmor. Nesse ambiente, o xfrm-ESP Page-Cache Write não pode ser acionado. É aí que entra o segundo exploit, RxRPC Page-Cache Write.
“RxRPC Page-Cache Write não requer privilégio para criar um namespace, mas o módulo rxrpc.ko em si não está incluído na maioria das distribuições”, explicou Kim. "Por exemplo, a compilação padrão do RHEL 10.1 não vem com rxrpc.ko. No entanto, no Ubuntu, o módulo rxrpc.ko é carregado por padrão."
"Encadear as duas variantes faz com que os pontos cegos se cubram. Em um ambiente onde a criação de namespace de usuário é permitida, o exploit ESP é executado primeiro. Por outro lado, no Ubuntu, onde a criação de namespace de usuário é bloqueada, mas rxrpc.ko é construído, o exploit RxRPC funciona."
CloudLinx, em um comunicado próprio, disse que a falha reside no “caminho rápido ESP-in-UDP MSG_SPLICE_PAGES no-COW e é acessível através da interface netlink do usuário XFRM”.
"O bug reside nos caminhos rápidos de descriptografia no local de esp4, esp6 e rxrpc: quando um buffer de soquete carrega fragmentos paginados que não são de propriedade privada do kernel (por exemplo, páginas de canal anexadas via splice(2)/sendfile(2)/MSG_SPLICE_PAGES), o caminho de recebimento é descriptografado diretamente sobre essas páginas com suporte externo, expondo ou corrompendo o texto simples ao qual um processo sem privilégios ainda mantém uma referência," AlmaLinux disse.
Aumentando a urgência está o lançamento de uma prova de conceito (PoC) funcional que pode ser explorada para obter root em um único comando. Até que os patches estejam disponíveis, é aconselhável bloquear os módulos esp4, esp6 e rxrpc para que não possam ser carregados -
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Vale a pena mencionar aqui que Dirty Frag, apesar de compartilhar algumas sobreposições com Copy Fail, pode ser explorado independentemente de o módulo algif_aead do kernel Linux estar habilitado ou não.
“Observe que Dirty Frag pode ser acionado independentemente de o módulo algif_aead estar disponível”, disse o pesquisador. "Em outras palavras, mesmo em sistemas onde a mitigação de falha de cópia publicamente conhecida (lista negra algif_aead) é aplicada, seu Linux ainda é vulnerável ao Dirty Frag."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #linux #kernel #dirty #frag #lpe #exploit #permite #acesso #root #nas #principais #distribuições
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário