Un nouveau jour zéro dans Linux, baptisé comme Frag sale, permet à un attaquant local de grimper les privilèges de racine dans la plupart des distributions avec un seul ordre, selon le chercheur Hyunwoo Kim, qui a publié à la fois la documentation et un PoC après que l'embargo a été brisé. L'opération chaîne deux défaillances du noyau (liées à xfrm-ESP et RxRPC) pour écraser des pages de mémoire protégées et modifier des fichiers système sans autorisation ; contrairement aux défaillances précédentes telles que Dirty Pipe ou Copy Fail, cette attaque profite d'un champ de fragmentation différent dans la logique du noyau, le rendant nouveau et dangereux.
La gravité pratique est élevée Parce que Dirty Frag est un échec de la logique déterministe : il ne nécessite pas de conditions de carrière complexes, il ne provoque pas l'échec des paniques du noyau et le PoC rapporte un taux de réussite très élevé. Bien que l'attaque nécessite un accès local, cela se convertit en environnements multi-utilisateurs, machines avec des comptes de développement exposés, conteneurs mal isolés et environnements nuageux partagés dans des objectifs à haut risque. En outre, la publication publique de l'explosion avant les patchs amplifie la fenêtre d'exposition.
Jusqu'à présent, il n'y a pas de CVE officiel pour cette vulnérabilité parce que l'embargo a été rompu; les informations originales et les ressources de l'auteur sont disponibles dans le communiqué Openwall et dans le dépôt avec le PoC: Informations ouvertes et Dépôt sale Frag dans GitHub. Ceux qui gèrent l'infrastructure doivent suivre de près les avis de distribution des fournisseurs de services et être prêts à appliquer les correctifs du noyau dès leur publication.
Comme atténuation immédiate, les auteurs proposent de bloquer et de télécharger des modules vulnérables (s4, s6 et rxrpc). La commande suggérée pour créer une règle modprobe qui empêche son chargement et pour supprimer les modules chargés à chaud est : sh -c "printf 'install es4 / bin / false\ ninstall es6 / bin / false\ ninstall rxrpc / bin / false\ n' > / etc / modprobe.d / salkfrag.conf; rmmod es4 es6 rxrpc 2 > / dev / null; true." Attention : Cette mesure désactive IPsec et AFS; elle ne doit pas être appliquée sans évaluer l'impact sur les VPN et les services dépendants.
Bien qu'une correction officielle soit attendue, des mesures supplémentaires de réduction des risques devraient être prises : restreindre l'accès local aux systèmes critiques, révoquer l'accès interactif inutile, renforcer les politiques d'isolement des conteneurs et des machines virtuelles et surveiller les signes d'escalade (processus inattendus avec UID 0, modifications inhabituelles dans / etc., charge dynamique des modules). Les équipes d'intervention devraient préparer des procédures pour isoler et réinstaller les systèmes engagés plutôt que d'essayer de les réparer sur place.
Il est également important de se souvenir de la relation avec les incidents récents : les responsables continuent de déployer des correctifs pour Copy Fail et d'autres erreurs d'escalade de privilège qui sont apparues ces derniers mois. L'agence américaine de cybersécurité. Les États-Unis (CISA) accordent la priorité à ces vulnérabilités dans leur catalogue de vulnérabilités exploitées; les organisations fédérales ont reçu l'ordre d'atténuer rapidement le problème de la copie. Voir la page officielle de la CISA pour le suivi et les ordres applicables : CISA KEV Catalogue.
D'un point de vue défensif à moyen terme, il convient de renforcer les contrôles de confinement : activer et revoir les politiques SELinux / AppArmor, appliquer l'isolement de l'espace de noms et les charges de travail cgroups, utiliser les mécanismes de contrôle de l'intégrité des fichiers et EDR qui détectent les comportements d'escalade, et préparer des alertes pour les charges ou la manipulation des modules du noyau. Planifiez des déploiements de noyau à jour dans des fenêtres contrôlées et essayez des restaurations complètes pour assurer une restauration propre en cas d'engagement.
Pour les gestionnaires de cloud et les fournisseurs gérés, la recommandation immédiate est de coordonner avec les fournisseurs d'images et de services afin de connaître l'impact sur l'infrastructure partagée et d'exiger des essais d'atténuation et de stationnement. Compte tenu de la configuration d'exploitation locale et de la facilité démontrée par le PoC, la fenêtre de risque est concrète et courte: une action rapide et coordonnée réduit la probabilité d'engagements massifs.
Enfin, gardez en ligne des copies d'éléments critiques et de clés de vérification, des justificatifs de comptes privilégiés après des activités suspectes et abonnez-vous aux listes officielles de sécurité et aux canaux de leur distribution pour recevoir les mises à jour des correctifs dès qu'ils sont disponibles; la combinaison d'atténuation temporaire, de détection active et de correctif opportun est la seule stratégie pratique pour neutraliser la vulnérabilité avec les caractéristiques de Dirty Frag.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...