Exploração do Dirty Frag revela acesso root imediato na maioria das máquinas Linux desde 2017, sem correções disponíveis e aviso prévio sobre a vulnerabilidade tipo Copy Fail.

Uma questão importante para os administradores de sistemas: o que pode ser pior do que uma vulnerabilidade instantânea no Linux que afeta a maioria dos sistemas desde 2017? Duas delas! Hoje, a notícia não tão boa é sobre a vulnerabilidade conhecida como Dirty Frag, que utiliza um mecanismo semelhante ao Copy Fail, uma falha que está causando grandes alarmes no mundo Linux. Essa vulnerabilidade impacta quase todas as distribuições do Linux desde 2017, e por não ter havido aviso prévio, não existe patch disponível. Isso ocorreu devido a um embargo quebrado que revelou a vulnerabilidade antes que os preparativos fossem finalizados.

Qualquer usuário local pode obter acesso root (administrador) em uma máquina afetada com apenas um programa simples, sem depender de condições específicas do sistema ou de tempo, já que é um erro lógico direto. Praticamente todas as distribuições populares do Linux desde 2017 estão vulneráveis, incluindo versões atuais do Ubuntu (24 e 26), Arch, RHEL, OpenSUSE, CentOS Stream, Fedora e Alma. Testes realizados em ambientes como o WSL2 confirmaram que “root” era a palavra-chave.

O Dirty Frag é ainda mais alarmante, pois no momento não há nenhum patch disponível, o que a torna especialmente perigosa. Nem mesmo o núcleo principal do Linux parece ter correções, já que foi relatado que a falha foi ativada em uma máquina rodando CachyOS com o kernel 7.0.3-1-cachyos, assim como em uma instalação atualizada do Arch. É crucial ficar atento a atualizações e corrigir seus servidores assim que estiverem disponíveis.

Felizmente, a mitigação é relativamente simples e não deve afetar o funcionamento da maioria dos servidores. É necessário apenas desabilitar os módulos esp4, esp6 e rxrpc, que estão relacionados ao IPSec e provavelmente não são usados a menos que a máquina seja um cliente ou servidor IPSec. Os módulos podem ser desabilitados com o seguinte comando:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

O motivo pelo qual o Dirty Frag está surpreendendo a todos é que, mesmo tendo sido reportado à equipe do kernel Linux em 30 de abril, um “terceiro não relacionado” quebrou o embargo para a revelação. Os detalhes adicionais não estão claros, mas a teoria mais aceita é que o exploit já está sendo utilizado por agentes maliciosos, o que motivou a quebra do embargo. Para testar suas máquinas, pode-se usar:

git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

Em termos de detalhes técnicos, a situação não é muito diferente do Copy Fail, pois se baseia na exploração de uma operação de zero cópia ao intercalar um descritor de cache de página. A diferença é que, desta vez, o código defeituoso está nos módulos relacionados ao IPSec. A vulnerabilidade original, “xfrm-ESP Page Cache Write”, foi introduzida no commit do kernel, e está presente na maioria das distribuições. Os sistemas Ubuntu possuem o AppArmor que fecha essa falha específica, e o PoC combina um segundo exploit, “RxRPC Page-Cache Write”, que foi adicionado em commit posterior.