🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
DirtyClone é um novo escalonamento de privilégios do kernel Linux na família DirtyFrag. A JFrog Security Research publicou um guia prático de exploração da falha em 25 de junho, a primeira demonstração pública dessa variante.
Rastreado como CVE-2026-43503 (CVSS 8.8), ele permite que um usuário local corrompa a memória armazenada em arquivo por meio de um pacote de rede clonado e obtenha root. O patch chegou à linha principal em 21 de maio; se o seu kernel não tiver, atualize agora.
Quando o kernel copia um pacote de rede internamente, duas funções auxiliares descartam um sinalizador de segurança que marca a memória do pacote como compartilhada com um arquivo no disco. Esse sinalizador ausente é toda a vulnerabilidade.
O invasor carrega um binário privilegiado como /usr/bin/su na memória, conecta essas páginas de memória em um pacote de rede e força o kernel a cloná-lo. O pacote clonado passa por um túnel IPsec controlado pelo invasor e a etapa de descriptografia substitui as verificações de login do binário por bytes escolhidos pelo invasor. Na próxima vez que alguém executar o su, ele entregará o root.
O arquivo no disco nunca muda. A modificação reside apenas na cópia na memória do kernel, portanto, as ferramentas de integridade de arquivo não a percebem, o ataque não deixa trilha de auditoria e uma reinicialização restaura o binário original. O invasor já tem root no momento em que alguém pensa em verificar.
A exploração requer CAP_NET_ADMIN para configurar o túnel IPsec de loopback. No Debian e no Fedora, namespaces de usuários sem privilégios são habilitados por padrão, para que um usuário local possa obter essa capacidade dentro de um novo namespace.
O Ubuntu 24.04 e versões posteriores restringem a criação de namespaces via AppArmor, bloqueando o caminho de exploração padrão. O cache de página é compartilhado no nível do host, portanto, as modificações feitas dentro de um namespace afetam todos os processos na máquina.
Os sistemas expostos são servidores multilocatários, executores de CI, hosts de contêineres e clusters Kubernetes onde usuários não confiáveis podem criar namespaces. JFrog confirmou a exploração nos sistemas Debian, Ubuntu e Fedora com configurações de namespace padrão.
Quarto de uma série
Este é o quarto escalonamento de privilégios recente com o mesmo modo de falha: a memória baseada em arquivo é tratada como dados de pacote e, em seguida, uma operação de rede local grava onde deveria ter copiado.
Falha na cópia (CVE-2026-31431) veio primeiro no final de abril, explorando o módulo algif_aead para gravação de cache de página de quatro bytes.
DirtyFrag (CVE-2026-43284 e CVE-2026-43500) foi lançado em 7 de maio, encadeando caminhos IPsec ESP e RxRPC para uma primitiva de gravação completa.
Fragnesia (CVE-2026-46300) apareceu em 13 de maio, contornando o patch DirtyFrag por meio de um bug de eliminação de bandeira em skb_try_coalesce().
Cada correção fechava um caminho de código e deixava outros abertos. A exploração demonstrada do DirtyClone concentra-se em __pskb_copy_fclone(), com skb_shift() também afetado; a correção mais ampla do CVE cobre auxiliares adicionais de transferência de fragmentos onde o mesmo sinalizador pode ser perdido.
O problema subjacente não é uma função auxiliar ruim. É um problema de contrato: todo caminho de código que move fragmentos skb deve sempre preservar o bit de frag compartilhado.
A rede de cópia zero do kernel permite que a memória baseada em arquivo sirva como dados de pacote, e um único sinalizador descartado em qualquer lugar da cadeia transforma uma otimização de desempenho em uma primitiva de gravação. Cada variante encontrou um caminho onde o contrato não foi honrado.
O pesquisador original do DirtyFrag, Hyunwoo Kim, enviou um patch multissite mais amplo cobrindo vários auxiliares de transferência de fragmentos restantes em 16 de maio. A correção combinada foi mesclada em 21 de maio (commit 48f6a5356a33), atribuída CVE-2026-43503 em 23 de maio e enviada no Linux v7.1-rc5 em 24 de maio.
O que fazer
Instale a atualização do kernel da sua distribuição. A correção chegou ao upstream na v7.1-rc5 e foi portada para ramificações estáveis e LTS. Ubuntu, Debian e SUSE publicaram avisos; A Red Hat possui uma entrada de rastreamento do Bugzilla.
Se você não conseguir corrigir hoje, duas soluções alternativas reduzirão a superfície de ataque. Restrinja namespaces de usuários sem privilégios: no Debian e no Ubuntu, defina kernel.unprivileged_userns_clone=0 (outras distribuições usam mecanismos diferentes).
Como alternativa, coloque na lista negra os módulos do kernel esp4, esp6 e rxrpc, embora isso interrompa o IPsec e o AFS e só funcione quando esses recursos são módulos carregáveis em vez de compilados no kernel. Ambos são controles temporários, não soluções.
A classe DirtyFrag provavelmente não terminou. Qualquer função que mova descritores de fragmentos sem propagar o sinalizador de frag compartilhado é um novo CVE em potencial, e a auditoria deve cobrir todos os caminhos que tocam skb_shinfo()->flags durante a transferência de fragmentos.
Rastreado como CVE-2026-43503 (CVSS 8.8), ele permite que um usuário local corrompa a memória armazenada em arquivo por meio de um pacote de rede clonado e obtenha root. O patch chegou à linha principal em 21 de maio; se o seu kernel não tiver, atualize agora.
Quando o kernel copia um pacote de rede internamente, duas funções auxiliares descartam um sinalizador de segurança que marca a memória do pacote como compartilhada com um arquivo no disco. Esse sinalizador ausente é toda a vulnerabilidade.
O invasor carrega um binário privilegiado como /usr/bin/su na memória, conecta essas páginas de memória em um pacote de rede e força o kernel a cloná-lo. O pacote clonado passa por um túnel IPsec controlado pelo invasor e a etapa de descriptografia substitui as verificações de login do binário por bytes escolhidos pelo invasor. Na próxima vez que alguém executar o su, ele entregará o root.
O arquivo no disco nunca muda. A modificação reside apenas na cópia na memória do kernel, portanto, as ferramentas de integridade de arquivo não a percebem, o ataque não deixa trilha de auditoria e uma reinicialização restaura o binário original. O invasor já tem root no momento em que alguém pensa em verificar.
A exploração requer CAP_NET_ADMIN para configurar o túnel IPsec de loopback. No Debian e no Fedora, namespaces de usuários sem privilégios são habilitados por padrão, para que um usuário local possa obter essa capacidade dentro de um novo namespace.
O Ubuntu 24.04 e versões posteriores restringem a criação de namespaces via AppArmor, bloqueando o caminho de exploração padrão. O cache de página é compartilhado no nível do host, portanto, as modificações feitas dentro de um namespace afetam todos os processos na máquina.
Os sistemas expostos são servidores multilocatários, executores de CI, hosts de contêineres e clusters Kubernetes onde usuários não confiáveis podem criar namespaces. JFrog confirmou a exploração nos sistemas Debian, Ubuntu e Fedora com configurações de namespace padrão.
Quarto de uma série
Este é o quarto escalonamento de privilégios recente com o mesmo modo de falha: a memória baseada em arquivo é tratada como dados de pacote e, em seguida, uma operação de rede local grava onde deveria ter copiado.
Falha na cópia (CVE-2026-31431) veio primeiro no final de abril, explorando o módulo algif_aead para gravação de cache de página de quatro bytes.
DirtyFrag (CVE-2026-43284 e CVE-2026-43500) foi lançado em 7 de maio, encadeando caminhos IPsec ESP e RxRPC para uma primitiva de gravação completa.
Fragnesia (CVE-2026-46300) apareceu em 13 de maio, contornando o patch DirtyFrag por meio de um bug de eliminação de bandeira em skb_try_coalesce().
Cada correção fechava um caminho de código e deixava outros abertos. A exploração demonstrada do DirtyClone concentra-se em __pskb_copy_fclone(), com skb_shift() também afetado; a correção mais ampla do CVE cobre auxiliares adicionais de transferência de fragmentos onde o mesmo sinalizador pode ser perdido.
O problema subjacente não é uma função auxiliar ruim. É um problema de contrato: todo caminho de código que move fragmentos skb deve sempre preservar o bit de frag compartilhado.
A rede de cópia zero do kernel permite que a memória baseada em arquivo sirva como dados de pacote, e um único sinalizador descartado em qualquer lugar da cadeia transforma uma otimização de desempenho em uma primitiva de gravação. Cada variante encontrou um caminho onde o contrato não foi honrado.
O pesquisador original do DirtyFrag, Hyunwoo Kim, enviou um patch multissite mais amplo cobrindo vários auxiliares de transferência de fragmentos restantes em 16 de maio. A correção combinada foi mesclada em 21 de maio (commit 48f6a5356a33), atribuída CVE-2026-43503 em 23 de maio e enviada no Linux v7.1-rc5 em 24 de maio.
O que fazer
Instale a atualização do kernel da sua distribuição. A correção chegou ao upstream na v7.1-rc5 e foi portada para ramificações estáveis e LTS. Ubuntu, Debian e SUSE publicaram avisos; A Red Hat possui uma entrada de rastreamento do Bugzilla.
Se você não conseguir corrigir hoje, duas soluções alternativas reduzirão a superfície de ataque. Restrinja namespaces de usuários sem privilégios: no Debian e no Ubuntu, defina kernel.unprivileged_userns_clone=0 (outras distribuições usam mecanismos diferentes).
Como alternativa, coloque na lista negra os módulos do kernel esp4, esp6 e rxrpc, embora isso interrompa o IPsec e o AFS e só funcione quando esses recursos são módulos carregáveis em vez de compilados no kernel. Ambos são controles temporários, não soluções.
A classe DirtyFrag provavelmente não terminou. Qualquer função que mova descritores de fragmentos sem propagar o sinalizador de frag compartilhado é um novo CVE em potencial, e a auditoria deve cobrir todos os caminhos que tocam skb_shinfo()->flags durante a transferência de fragmentos.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #nova #falha #no #kernel #do #dirtyclone #linux #permite #que #usuários #locais #ganhem #root #por #meio #de #pacotes #clonados
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário