Дослідник безпеки Хюнву Кім оприлюднив деталі критичної вразливості, яку він назвав Dirty Frag, що дозволяє зловмисникам отримувати повні права суперкористувача, відомі як root, у більшості сучасних операційних систем на базі ядра Linux. Ця помилка існувала в коді ядра протягом останніх дев’яти років, залишаючись непоміченою для розробників, поки її не виявили під час чергового аудиту системи, що ставить під удар стабільність та безпеку інфраструктур, які роками вважалися захищеними від подібних маніпуляцій з пам’яттю.
Принцип роботи Dirty Frag базується на об’єднанні двох окремих дефектів, пов’язаних із записом у кеш сторінок пам’яті через модулі xfrm-ESP та RxRPC. На відміну від багатьох інших вразливостей, які вимагають складних умов для виконання, цей недолік працює надійно та детерміновано, оскільки не залежить від станів гонитви або критичних часових вікон, що значно спрощує завдання для потенційних хакерів, які бажають модифікувати системні файли без належних дозволів доступу.
На даний момент ситуація ускладнюється відсутністю офіційного ідентифікатора CVE та будь-яких виправлень для усунення цієї небезпеки, оскільки термін ембарго, під час якого розробники мали підготувати патчі, було порушено публікацією експлойту третьою стороною 7 травня. Оскільки вразливість дозволяє неаутентифіковане підвищення привілеїв, фахівці прогнозують, що після офіційної оцінки вона отримає критичний рівень загрози, що перевищує показник 9.0 за міжнародною шкалою CVSS, що вимагає негайної уваги адміністраторів серверів.
Серед систем, які підтверджено схильні до атаки Dirty Frag, знаходяться найпопулярніші дистрибутиви, зокрема Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed та Fedora. Відсутність офіційних оновлень означає, що всі ці операційні системи залишаються вразливими до вторгнень, поки розробники ядра Linux не запропонують стабільне рішення, здатне закрити прогалину в логіці обробки кешу сторінок, не порушуючи при цьому загальну архітектуру та продуктивність всієї системи.
Єдиним доступним на сьогодні способом захисту є примусове відключення вразливих модулів ядра esp4, esp6 та rxrpc, проте цей крок не є повноцінним виправленням, оскільки призводить до негайного виходу з ладу важливих мережевих служб. Зокрема, після деактивації цих модулів повністю перестають працювати IPsec VPN-тунелі та розподілені файлові системи типу AFS, що робить цей метод безпеки практично неприйнятним для більшості корпоративних мереж, які критично залежать від постійного та захищеного віддаленого доступу.
