Les détails d'une nouvelle vulnérabilité locale de l'escalade des privilèges dans le noyau Linux surnommé sont apparus Frag sale, qui combine deux échecs d'écriture dans le cache des pages pour obtenir des privilèges racine sans le besoin de conditions de carrière. Selon une recherche publiée par Hyunwoo Kim, l'exploitation lie une vulnérabilité dans le sous-système IPSec (xfrm-ESP Page-Cache Write) avec une autre dans RxRPC (RxRPC Page-Cache Write), et sa nature est déterministe, non dépendant des fenêtres temporelles, ce qui augmente considérablement le taux de réussite et la gravité du risque pour les systèmes non équipés.
Le problème est particulièrement pertinent car il touche des chemins de réception dans lesquels le noyau défigure directement sur des pages qui sont effectivement mentionnées par les processus utilisateurs (par exemple, des pages de pipe attachées par spin / sendfile ou MSG _ SPLICE _ PAGES), qui peuvent exposer ou corrompre un texte plat qu'un processus non privilégié maintient encore. La combinaison couvre des scénarios complémentaires: dans les distributions qui permettent la création d'espaces de noms d'utilisateurs l'attaque IPSec peut être exécutée, tandis que dans Ubuntu - où la création d'espaces de noms est bloquée par AppArmor - le module rxrpc par défaut chargé rend l'autre variante possible. Cela signifie que de nombreuses distributions populaires sont exposées(mentionné parmi eux Ubuntu 24.04.4, RHEL 10.1, Fedora 44, CentOS Stream 10, AlmaLinux 10 et openSUSE Tumbleweed), et il existe déjà un test de concept fonctionnel qui vous permet d'obtenir racine avec une seule commande, ce qui augmente l'urgence.
Du point de vue historique, les vecteurs impliqués se souviennent des échecs antérieurs de la famille Pipe et Copie Fail, mais Dirty Frag ne dépend pas du module algif _ aead ou de leur atténuation connue, de sorte que les systèmes précédemment «parchés» contre Copy Fail peuvent rester vulnérables. En outre, les racines du problème remontent aux engagements du noyau 2017 et 2023, qui mettent en évidence comment les anciens changements peuvent permettre de nouvelles chaînes dangereuses des années plus tard.
Bien que les responsables du noyau travaillent sur les correctifs, des mesures d'atténuation temporaires sont essentielles pour réduire la surface d'attaque sur les serveurs et les postes de travail exposés aux utilisateurs locaux ou aux environnements multi-utilisateurs. Parmi les mesures les plus efficaces et les plus à faible risque figurent: éviter de charger les modules concernés(es4, es6 et rxrpc) jusqu'à l'arrivée d'un patch officiel; cela peut être réalisé en créant des règles dans / etc / modprobe.d / qui empêchent le chargement automatique du module ou rediriger son installation vers / bin / false, et en vérifiant l'absence avec lsmod. Une autre atténuation complémentaire est de désactiver le clonage d'espaces de noms par des utilisateurs non privilégiés (sysctl kernel.unprivileged _ userns _ clone = 0), et dans les environnements Ubuntu pour vérifier la politique d'AppArmor car dans de nombreux cas il empêche le premier vecteur (xfrm) en bloquant la création d'espaces de noms d'utilisateurs. Pour plus de détails sur comment et où gérer la charge des modules voir la documentation officielle du noyau dans Kernel.org - gestion des modules et la documentation AppArmor que Canonical maintient en Ubuntu - Apparmor.
Il est important de planifier ces mesures d'atténuation en fonction d'un critère opérationnel : le blocage des modules liés à IPSec ou RxRPC peut avoir un impact fonctionnel sur les services qui dépendent d'IPSec / ESP ou du noyau RxRPC, de sorte que l'effet sur les applications et la connectivité devrait être évalué avant d'appliquer les changements de production. En outre, maintenir les contrôles d'accès aux comptes locaux, limiter la possibilité de soulever et de fonctionner binaire par des utilisateurs peu fiables, vérifier les modifications aux fichiers SUID / SGID et surveiller les signaux d'exploitation (créant des shells avec des privilèges, charge inhabituelle de modules, activité de processus inconnus).
Enfin, lorsque les correctifs officiels sont disponibles, appliquez-les en priorité et vérifiez que le noyau mis à jour corrige efficacement les références concernées. À long terme, cet incident souligne à nouveau la nécessité de minimiser la surface de l'attaque chez les hôtes exposés : désactiver les modules inutiles, appliquer des principes moins privilégiés pour les utilisateurs locaux et garder les images de base aussi simples que possible réduit la probabilité que des chaînes comme Dirty Frag soient exploitables dans leur environnement. Pour suivre l'état des vulnérabilités et mettre à jour la confiance des sources centralisées telles que le NVD et l'arborescence officielle du noyau : NVD - Base de données nationale sur la vulnérabilité et Kernel.org.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...