Нова критична zero-day уязвимост в Linux, получила името Dirty Frag, позволява на локални атакуващи да получат root привилегии върху повечето популярни Linux дистрибуции чрез експлойт, изпълняван с една команда. Проблемът вече предизвиква сериозно безпокойство сред администратори и екипи по киберсигурност, тъй като към момента за голяма част от засегнатите системи все още няма официални пачове.

Уязвимост, останала незабелязана почти десетилетие

Според изследователя по сигурността Хюнуу Ким, който публикува техническите детайли и PoC експлойта, проблемът е въведен преди приблизително девет години в интерфейса algif_aead на Linux kernel.

Dirty Frag комбинира две отделни уязвимости:

• CVE-2026-43284 – xfrm-ESP Page-Cache Write
• CVE-2026-43500 – RxRPC Page-Cache Write

Чрез веригата от тези два проблема атакуващият може да модифицира защитени системни файлове директно в паметта без необходимите права, което води до пълна ескалация на привилегии.

Част от опасен клас Linux уязвимости

Dirty Frag попада в същия клас vulnerabilities като добре познатите Dirty Pipe и Copy Fail, които също позволяват локално придобиване на root достъп чрез логически дефекти в управлението на page cache механизми в Linux kernel.

Разликата е, че този път експлойтът използва fragment полето в различна kernel структура.

Особено тревожен е фактът, че:

• не се изисква race condition;
• атаката е детерминистична;
• kernel panic практически не се наблюдава при неуспешен опит;
• вероятността за успешна експлоатация е изключително висока.

Това прави Dirty Frag значително по-стабилен и надежден за реални атаки.

Засегнати са почти всички големи Linux дистрибуции

Сред потвърдено засегнатите платформи са:

• Ubuntu
• Red Hat Enterprise Linux
• CentOS Stream
• AlmaLinux
• openSUSE Tumbleweed
• Fedora

Към момента много от тях все още нямат налични корекции.

Публичното разкриване е ускорено след нарушено eмбарго

По думите на Ким, първоначално уязвимостта е била координирана с Linux maintainers под embargo, но на 7 май 2026 г. независима трета страна публикува експлойта преждевременно.

Това принуждава изследователя да публикува пълната документация и PoC кода преди наличието на официални пачове и CVE регистрации.

Временно решение с риск за VPN и AFS услуги

Докато се очакват официални актуализации, Linux администраторите могат временно да намалят риска чрез деактивиране на уязвимите kernel модули:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Тази мярка обаче има сериозен страничен ефект – ще прекъсне:

• IPsec VPN функционалности;
• AFS distributed file system услуги.

Linux е под натиск от поредица root експлойти

Dirty Frag идва само дни след като американската агенция Cybersecurity and Infrastructure Security Agency (CISA) добави друга Linux уязвимост – Copy Fail – в каталога Known Exploited Vulnerabilities (KEV).

Федералните агенции в САЩ получиха срок до 15 май за прилагане на защити срещу активната експлоатация на Copy Fail.

Паралелно с това през април Linux общността коригира и друга опасна root escalation уязвимост – Pack2TheRoot, открита в PackageKit след повече от десетилетие присъствие в кода.

Защо Dirty Frag е особено опасен

Случаят подчертава нарастващия проблем с дългогодишни логически дефекти в Linux kernel, които остават незабелязани години наред и могат да бъдат превърнати в надеждни локални експлойти.

Особено критично е, че:

• експлойтът вече е публичен;
• PoC кодът е достъпен;
• пачове липсват за множество дистрибуции;
• атаката не изисква сложна синхронизация или нестабилни race conditions.

За организациите това означава необходимост от спешен преглед на Linux инфраструктурата, ограничаване на локалния достъп и засилен мониторинг за подозрителни privilege escalation активности.