A nova cadea de vulnerabilidades “Dirty Frag” permite escalada a root en múltiples distribucións Linux

Investigadores de seguridade identificaron unha nova cadea de vulnerabilidades críticas no kernel Linux denominada “Dirty Frag”, capaz de permitir escalada local de privilexios ata nivel root en numerosas distribucións Linux modernas amplamente utilizadas en contornos corporativos, cloud e plataformas containerizadas.

A investigación indica que a explotación pode realizarse de maneira altamente fiable e determinista, aumentando significativamente o risco operativo fronte ás vulnerabilidades tradicionais de escalada local de privilexios que dependen de condicións de carreira inestables ou ventás temporais complexas.

A cadea “Dirty Frag” afecta sistemas Linux despregados en infraestruturas empresariais, contornos Kubernetes, plataformas cloud, telecomunicacións, virtualización e sistemas multiusuario expostos.

Vulnerabilidades identificadas
A cadea de explotación combina dúas vulnerabilidades principais:

• CVE-2026-43284
  Vulnerabilidade relacionada coa escritura sobre page-cache no subsistema xfrm-ESP de IPsec.
• CVE-2026-43500
  Vulnerabilidade relacionada con RxRPC Page-Cache Write que, no momento da publicación, continúa sen parche completo dispoñible.

Os investigadores sinalan ademais similitudes técnicas con vulnerabilidades anteriores de alto impacto como:

• Dirty Pipe (CVE-2022-0847)
• Copy Fail (CVE-2026-31431)
• CVE-2022-27666

Impacto potencial
A explotación exitosa podería permitir:

• Escalada local de privilexios ata root
• Modificación de memoria do kernel
• Corrupción de ficheiros sensibles
• Escape de contedores
• Persistencia avanzada
• Compromiso completo do sistema
• Movemento lateral en contornos cloud e Kubernetes

O risco é especialmente elevado en:

• Infraestruturas cloud
• Contornos Kubernetes
• Plataformas de virtualización
• Sistemas multiusuario
• Hosting compartido
• Infraestruturas DevOps
• Provedores de servizos xestionados (MSP)

Aspectos técnicos relevantes
A vulnerabilidade afecta o manexo de memoria page-cache e operacións “zero-copy” do kernel Linux.

A cadea Dirty Frag combina dúas rutas de explotación:
xfrm-ESP Page-Cache Write
RxRPC Page-Cache Write

Segundo os investigadores, ambas vulnerabilidades compensan mutuamente as súas limitacións operativas e amplían o número de distribucións potencialmente vulnerables.

A explotación pode sobrescribir memoria page-cache asociada a ficheiros sensibles mediante manipulación de páxinas compartidas entre espazo usuario e kernel.

Distribucións potencialmente afectadas
Entre as distribucións mencionadas na investigación atópanse:

• Ubuntu 24.04.4
• Red Hat Enterprise Linux 10.1
• Fedora Linux 44
• AlmaLinux 10
• CentOS Stream 10
• openSUSE Tumbleweed

Mitigación parcial dispoñible
Actualmente:

• CVE-2026-43284 dispón de mitigación/parche parcial nas ramas principais do kernel Linux.
• CVE-2026-43500 continúa sen parche público completo.

Isto implica que numerosos contornos poderían permanecer expostos mesmo tras aplicar algunhas actualizacións parciais.

Medidas de mitigación recomendadas
Ata a dispoñibilidade de parches completos recoméndase:

• Actualizar inmediatamente ás últimas versións do kernel proporcionadas por cada fabricante.
• Restringir acceso shell local a usuarios non confiables.
• Limitar a creación de namespaces sen privilexios cando sexa operacionalmente viable.
• Revisar políticas AppArmor e SELinux.
• Reforzar políticas de seguridade en contedores e Kubernetes.
• Monitorizar intentos anómalos de escalada de privilexios.
• Auditar carga e uso de módulos do kernel.
• Revisar actividade relacionada con:
  • RxRPC
  • IPsec
  • ESP
  • XFRM
• Aplicar regras EDR orientadas a:
  • explotación local do kernel
  • modificación anómala de memoria
  • container escape
  • actividade root inesperada

Mitigación técnica temporal
Os investigadores recomendan bloquear temporalmente determinados módulos vulnerables cando sexa posible operacionalmente:

sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Importante:
esta mitigación pode afectar funcionalidades IPsec, ESP ou servizos dependentes de RxRPC, polo que debe validarse previamente en contornos críticos.

MITRE ATT&CK
A actividade asociada podería aliñarse con:

• TA0004 – Privilege Escalation
• TA0008 – Lateral Movement
• TA0001 – Initial Access
• T1068 – Exploitation for Privilege Escalation
• T1611 – Escape to Host
• T1610 – Deploy Container
• T1548 – Abuse Elevation Control Mechanism

Consideracións de gobernanza e xestión do risco
Desde unha perspectiva de gobernanza e ciberresiliencia:

• As organizacións deberían priorizar a revisión de servidores Linux críticos expostos.
• Os contornos cloud-native e Kubernetes requiren avaliación inmediata.
• A existencia de PoC pública incrementa significativamente a probabilidade de explotación activa.
• Recoméndase elevar o seguimento desta vulnerabilidade aos procesos de xestión de vulnerabilidades críticas e resposta a incidentes.
• Organizacións suxeitas ao ENS, NIS2 ou marcos equivalentes deberían revisar posibles impactos sobre dispoñibilidade, integridade e segregación de contornos.