Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Dirty Frag colpisce Linux: escalation a root su distro popolari, rischio container escape e patch ancora in arrivo
Nel panorama della sicurezza informatica una nuova vulnerabilita del kernel Linux sta attirando grande attenzione perche consente una local privilege escalation fino a ottenere privilegi di root su molte distribuzioni diffuse. Il nome con cui viene indicata e Dirty Frag e descrive una classe di bug che permette di corrompere la page cache del kernel tramite una catena di due primitive di scrittura.
In pratica un utente locale senza privilegi puo sfruttare difetti logici deterministici per modificare dati appoggiati alla cache delle pagine e arrivare a compromettere file sensibili, con un tasso di successo elevato e senza dipendere da finestre temporali tipiche delle race condition.
Dirty Frag combina due vulnerabilita distinte. La prima riguarda il sottosistema IPsec xfrm e viene associata alla logica xfrm ESP Page Cache Write, introdotta da modifiche al codice risalenti al 2017. Questa tecnica offre una scrittura limitata ma sufficiente per alterare porzioni della page cache. Tuttavia in alcuni contesti lo sfruttamento richiede la creazione di un namespace utente, operazione che su Ubuntu puo essere bloccata da policy come AppArmor, riducendo la superficie di attacco per quella variante.
Qui entra in gioco la seconda componente della catena, RxRPC Page Cache Write, introdotta nel 2023. Questa non richiede la possibilita di creare namespace, ma dipende dalla presenza del modulo rxrpc.ko, che non e incluso o caricato di default su tutte le distribuzioni. Su Ubuntu invece il modulo puo risultare caricato, rendendo praticabile l exploit anche quando la prima strada e preclusa. La forza di Dirty Frag sta proprio nel coprire i punti ciechi: dove una variante non funziona, l altra puo riuscire.
Le distribuzioni potenzialmente impattate includono Ubuntu 24.04.4, RHEL 10.1, Fedora 44, CentOS Stream 10, AlmaLinux 10 e openSUSE Tumbleweed. In scenari containerizzati il rischio puo estendersi anche a possibili container escape, a seconda delle restrizioni applicate a capability e interfacce del kernel. E stato inoltre segnalato che le mitigazioni pensate per vulnerabilita simili non garantiscono protezione completa contro Dirty Frag.
In attesa di patch complete una misura pratica di mitigazione consiste nel bloccare il caricamento dei moduli coinvolti esp4 esp6 e rxrpc tramite configurazione di modprobe e rimozione dei moduli gia caricati, riducendo cosi la raggiungibilita dei percorsi vulnerabili.