Linux znów zagrożony. Dirty Frag to najpoważniejsza luka od czasu Dirty Pipe

Administratorzy systemów Linux mają kolejny powód do niepokoju. W sieci ujawniono nową podatność nazwaną Dirty Frag, która umożliwia lokalnym użytkownikom błyskawiczne uzyskanie uprawnień root praktycznie bez żadnych dodatkowych warunków. Co gorsza, luka dotyczy ogromnej liczby dystrybucji rozwijanych od 2017 roku, a w chwili ujawnienia problemu nie istniała jeszcze żadna oficjalna poprawka.

Eksperci porównują Dirty Frag do niedawno wykrytej podatności Copy Fail, która wywołała spore zamieszanie w świecie serwerów Linux. Nowa luka wykorzystuje podobny mechanizm związany z obsługą pamięci podręcznej stron i operacji zero-copy, jednak według specjalistów sytuacja jest jeszcze bardziej niebezpieczna.

Atak nie wymaga skomplikowanych warunków ani precyzyjnego timingu. Wystarczy uruchomienie niewielkiego programu, aby lokalny użytkownik uzyskał pełne prawa administratora systemu. Problem potwierdzono między innymi w Ubuntu, Arch Linuxie, RHEL-u, Fedorze, OpenSUSE, AlmaLinuxie czy CentOS Stream. Podatność działa nawet w środowisku WSL2.

W sieci ujawniono nową podatność nazwaną Dirty Frag, która umożliwia lokalnym użytkownikom błyskawiczne uzyskanie uprawnień root Linuxa praktycznie bez żadnych dodatkowych warunków.

Brak poprawek i złamane embargo

Największym problemem pozostaje brak dostępnych łatek bezpieczeństwa. Według dostępnych informacji luka została zgłoszona zespołowi odpowiedzialnemu za rozwój jądra Linux pod koniec kwietnia, jednak embargo dotyczące publikacji zostało przedwcześnie złamane przez „niepowiązaną stronę trzecią”.

To oznacza, że szczegóły podatności trafiły do sieci zanim deweloperzy zdążyli przygotować poprawki. Pojawiają się również spekulacje, że exploit może być już aktywnie wykorzystywany przez cyberprzestępców.

Tymczasowe zabezpieczenie jest proste

Na szczęście istnieje tymczasowa metoda ograniczenia ryzyka. Problem związany jest z modułami esp4, esp6 oraz rxrpc odpowiadającymi za funkcje powiązane z IPSec. W większości standardowych serwerów ich wyłączenie nie powinno wpłynąć na działanie systemu.

Administratorzy mogą dezaktywować moduły poprzez odpowiednią konfigurację modprobe i usunięcie ich z pamięci jądra. To obecnie najskuteczniejsza forma ochrony do czasu publikacji oficjalnych aktualizacji bezpieczeństwa.