Alerta de Mudança Lenta: vulnerabilidade crítica de escalonamento de privilégios no Linux, desative três módulos para mitigação emergencial

O principal oficial de segurança da informação da empresa Mist anunciou em 8 de maio de 23pds que existe uma vulnerabilidade crítica de elevação de privilégios no sistema Linux chamada Dirty Frag; todos os detalhes completos e o código de exploração já foram publicados. Qualquer usuário local de baixa permissão pode obter diretamente privilégios de administrador root do sistema afetado sem precisar de condições específicas do sistema. As medidas de mitigação de emergência são desativar os três módulos esp4, esp6 e rxrpc.

Por que o Dirty Frag é tão perigoso: falha lógica, alta taxa de sucesso, sem patch

O Dirty Frag se enquadra como uma vulnerabilidade lógica determinística, e não como um ataque instável que dependa de condições de corrida; isso faz com que a taxa de sucesso seja muito alta e seja possível reproduzir com estabilidade. O atacante só precisa executar um programa pequeno para obter imediatamente privilégios root do sistema-alvo. Todo o processo não causa travamento do kernel e é extremamente difícil de ser detectado por monitoramento comum.

A vulnerabilidade foi submetida em 30 de abril por pesquisadores de segurança ao time do núcleo do Linux, mas antes de o trabalho de correção ser concluído, um “terceiro não relacionado” vazou antecipadamente informações detalhadas e o código de exploração, o que levou a que as restrições de segurança fossem forçadas a serem removidas. A comunidade de segurança acredita de forma geral que isso implica que invasores maliciosos talvez já estejam explorando ativamente essa vulnerabilidade.

Do ponto de vista técnico, o Dirty Frag é semelhante ao mecanismo da vulnerabilidade Copy Fail, que atualmente causa amplo prejuízo no ecossistema de servidores Linux. Em ambos os casos, a exploração é feita inserindo descritores de cache de páginas nas operações de zero-copy. A falha raiz “xfrm-ESP Page-Cache Write” foi introduzida por um commit do núcleo de 2017, cac2661c53f3; como o AppArmor do Ubuntu corrigiu essa falha, o PoC conectou a segunda vulnerabilidade “RxRPC Page-Cache Write” (commit 2dc334f1a63a), garantindo que o ataque funcione igualmente em sistemas Ubuntu.

Escopo afetado: lista dos principais sistemas Linux confirmados

Sistemas Linux afetados confirmados (parcial):

· Ubuntu 24 e Ubuntu 26 (inclui AppArmor, por meio da segunda vulnerabilidade para contornar)

· Arch Linux (versões atualizadas também confirmadas como afetadas)

· RHEL (Red Hat Enterprise Linux)

· OpenSUSE

· CentOS Stream

· Fedora

· AlmaLinux

· CachyOS (núcleo 7.0.3-1-cachyos confirmado como acionado)

· WSL2 (Windows Subsystem for Linux) também confirmado como afetado

Mitigação de emergência: comandos específicos para desativar três módulos

Antes da divulgação dos patches oficiais, o método mais eficaz de mitigação é desativar os três módulos esp4, esp6 e rxrpc. Esses três módulos estão relacionados à funcionalidade de rede do IPSec. A menos que o servidor em si seja um cliente IPSec ou um servidor (isto é, usado para comunicação criptografada na camada de rede), desativá-los quase não afeta operações normais.

Para desativar os módulos, execute os seguintes comandos: sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”

Após concluir, acompanhe de perto os avisos de segurança de cada distribuição Linux e, depois que os patches oficiais forem publicados, aplique as atualizações do sistema imediatamente.

Perguntas frequentes

O Dirty Frag já tem patch oficial disponível?

Até o momento, a divisão oficial não publicou nenhum patch, e também não foi observado nenhum commit de correção no núcleo da linha principal do Linux. Isso ocorre porque a restrição de segurança foi quebrada antecipadamente antes de os patches ficarem prontos, fazendo com que os detalhes da vulnerabilidade fossem divulgados sem que o trabalho de correção estivesse concluído. Administradores de sistema devem acompanhar de perto os avisos de segurança das distribuições Linux e aplicar imediatamente após o lançamento dos patches.

Desativar os módulos esp4, esp6 e rxrpc afeta o funcionamento normal do servidor?

Esses três módulos estão principalmente relacionados a protocolos IPSec. A menos que o servidor em si seja um cliente IPSec ou um servidor (ou seja, usado para comunicação criptografada na camada de rede), desativá-los quase não afeta serviços Web, bancos de dados, nós de criptografia e outras atividades gerais. Esta é, no momento, a solução de mitigação de emergência mais segura e com menor impacto.

Por que essa vulnerabilidade foi divulgada mesmo sem patch?

O padrão do setor é “divulgação responsável”: após enviar a vulnerabilidade ao fabricante, pesquisadores de segurança geralmente esperam a conclusão do patch antes de divulgar os detalhes. Desta vez, a vulnerabilidade foi submetida em 30 de abril, mas um “terceiro não relacionado” vazou detalhes antecipadamente, quebrando a restrição. Os pesquisadores de segurança especulam que invasores maliciosos talvez já tenham explorado essa vulnerabilidade ativamente, e esse teria sido o gatilho final para a remoção da restrição.