Linux核心新型零時差漏洞Dirty Frag：鏈式攻擊取得Root權限，主流發行版全受影響

繼 Copy Fail（CVE-2026-31431）之後，Linux 核心再度爆出嚴重的本地提權（Local Privilege Escalation，LPE）漏洞。安全研究員 Hyunwoo Kim（@v4bel）於 2026 年 5 月 7 日公開揭露這個名為「Dirty Frag」的漏洞，並同步釋出概念驗證（PoC）程式碼，聲稱可透過單一指令取得目標系統的 root 權限。

漏洞背景與技術核心

Dirty Frag 與 Dirty Pipe、Copy Fail 同屬一類漏洞家族，但攻擊目標是核心資料結構中不同的分片（fragment）欄位。其最大特點在於它是一個「確定性邏輯漏洞（deterministic logic bug）」：不依賴時序競爭，不需要精準的時間窗口；即使攻擊失敗，也不會引發核心崩潰，因此整體成功率極高。

此漏洞採取鏈式攻擊手法，結合兩個獨立的頁面快取寫入（Page-Cache Write）弱點：

第一個是 xfrm-ESP Page-Cache Write，源自 IPSec 子系統（xfrm subsystem）。該問題可追溯至 2017 年 1 月的核心原始碼提交；同一筆提交也是 2022 年緩衝區溢位漏洞 CVE-2022-27666 的根源。它提供攻擊者一個 4 位元組的寫入原語，可覆寫核心頁面快取中的少量資料；但觸發前提是需要建立命名空間的權限。在 Ubuntu 環境中，AppArmor 機制預設會阻擋此操作。

第二個是 RxRPC Page-Cache Write，於 2023 年 6 月引入，針對 RxRPC 網路協定實作。它不需要命名空間建立權限，但對應的核心模組 rxrpc.ko 在多數發行版（例如 RHEL 10.1）中並未內建；相對地，Ubuntu 預設就會載入此模組。

兩個漏洞正好互補：在允許建立命名空間的環境中可利用 ESP 漏洞；而在 Ubuntu 這類封鎖命名空間、但預載 rxrpc.ko 的環境，則可改走 RxRPC 路徑，因而涵蓋多數主流發行版。

從技術面看，AlmaLinux 的安全公告指出，問題出在 esp4、esp6 與 rxrpc 的就地解密（in-place decryption）快速路徑：當 socket 緩衝區攜帶的分頁分片（paged fragments）並非由核心獨占持有（例如透過 splice(2) / sendfile(2) / MSG_SPLICE_PAGES 附加的管道頁面）時，接收路徑仍會直接對這些外部支援的頁面進行解密，導致仍持有參考的非特權行程其明文資料遭到曝露或損毀。

值得注意的是，即使系統已套用 Copy Fail 的緩解措施（將 algif_aead 模組加入封鎖清單），Dirty Frag 仍可在不依賴 algif_aead 模組的情況下成功觸發。

受影響範圍

Dirty Frag 影響絕大多數主流 Linux 發行版，包括 Ubuntu 24.04.4、RHEL 10.1、openSUSE Tumbleweed、CentOS Stream 10、AlmaLinux 10 及 Fedora 44。Ubuntu 特別指出，在未執行容器工作負載的主機上，該漏洞可讓本地使用者提升至 root；而在可能執行任意第三方工作負載的容器部署環境中，則可能進一步導致容器逃逸。

Wiz 研究人員 Merav Bar 與 Rami McCarthy 補充，要完成整個攻擊鏈，攻擊者通常需要具備較高層級的系統權限（例如 CAP_NET_ADMIN）。因此，在採用預設 seccomp 設定檔的 Kubernetes 等強化容器環境中，實際被利用的機率相對較低。

公開披露的特殊經過

本次漏洞的披露過程頗為曲折。Hyunwoo Kim 於 2026 年 4 月 30 日向 Linux 核心維護者通報，原本設有協調揭露的禁止期（embargo）。然而，5 月 7 日有不相關的第三方搶先公開 xfrm-ESP 漏洞的詳細資訊與攻擊程式，導致禁止期宣告破局。Kim 在與 linux-distros 郵件清單維護者協商後，決定同步公開完整技術文件與 PoC 程式碼。

目前，xfrm-ESP Page-Cache Write 已被紀錄為 CVE-2026-43284，並在主線核心中透過提交 f4c50a4034e6 完成修補；RxRPC Page-Cache Write 則被紀錄為 CVE-2026-43500，截至外媒撰文時仍無可用修補程式。

已觀察到的實際攻擊活動

Microsoft 表示，目前已觀察到有限度的實際攻擊。攻擊者先透過 SSH 取得初始存取，接著部署並執行 ELF 執行檔（./update）以觸發提權，並進一步竄改 GLPI 的 LDAP 身份驗證設定、對系統進行偵察、存取敏感資料，以及操作 PHP 工作階段檔案，刪除部分內容以干擾正常存取。Microsoft 指出，這些行為可能與 Dirty Frag 或 Copy Fail 相關。

防護建議

在官方修補程式尚未全面釋出前，建議採取以下緊急緩解措施（注意：停用這些模組可能導致 IPSec VPN 與 AFS 分散式網路檔案系統無法使用）：

• 執行下列指令封鎖並移除 esp4、esp6 與 rxrpc 核心模組：sudo sh -c "printf 'install esp4 /bin/false\\ninstall esp6 /bin/false\\ninstall rxrpc /bin/false\\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
   
• 持續追蹤各發行版的安全公告；Amazon Linux、Debian、RHEL、Rocky Linux 與 SUSE 均已發布相關說明。
   
• 確認 Copy Fail（CVE-2026-31431）的修補狀態：CISA 已將其列入已知遭利用漏洞目錄（KEV），並要求聯邦機構於 5 月 15 日前完成修補。
   
• 在容器環境中強化 seccomp 設定，以降低 CAP_NET_ADMIN 被濫用的風險。

本文轉載自 TheHackerNews、BleepingComputer。