Lỗ hổng "Dirty Frag" mới trên Linux có thể đang bị khai thác tấn công

Một lỗ hổng leo thang đặc quyền cục bộ mới được công bố ảnh hưởng đến các bản phân phối Linux chính có thể đã bị kẻ tấn công khai thác trong thực tế.

Lỗ hổng khai thác này, được đặt tên là Dirty Frag và Copy Fail 2, kết hợp hai lỗi được theo dõi là CVE-2026-43284 và CVE-2026-43500, cho phép người dùng không có đặc quyền nâng cao quyền hạn lên mức root.

Linux

Nghiên cứu viên Hyunwoo Kim đã tiết lộ lỗ hổng một cách có trách nhiệm, tuy nhiên một cá nhân nào đó đã công khai nó trước khi các bản vá được phát hành, khiến Kim buộc phải công bố chi tiết kỹ thuật và mã khai thác (PoC).

"Vì đây là một lỗi logic xác định không phụ thuộc vào khoảng thời gian, không cần điều kiện tranh chấp (race condition), nhân kernel không bị treo khi khai thác thất bại và tỷ lệ thành công rất cao," Kim giải thích.

Đặc điểm kỹ thuật và Tác động

Các lỗ hổng này ảnh hưởng đến các thành phần xfrm-ESP (IPsec) và RxRPC của nhân Linux, với tác động lớn nhất đối với các máy chủ không chạy workload container. Trong các triển khai container, kẻ tấn công có thể khai thác Dirty Frag để thoát ra khỏi container, nhưng điều này chưa được chứng minh, các nhà phát triển Ubuntu lưu ý.

Dirty Frag tương tự như Dirty Pipe, một lỗ hổng xuất hiện vào năm 2022, và lỗi gần đây được phát hiện có tên Copy Fail.

Dấu hiệu khai thác thực tế

Copy Fail đã bị khai thác trong thực tế, và Microsoft báo cáo rằng Dirty Frag cũng có thể đã bị khai thác.

Theo gã khổng lồ công nghệ này, Dirty Frag có thể được khai thác sau khi kẻ tấn công truy cập được vào hệ thống mục tiêu, điều này có thể đạt được thông qua nhiều cách thức khác nhau, bao gồm tài khoản SSH bị xâm phạm, quyền truy cập web shell qua các ứng dụng tiếp xúc với internet, lạm dụng tài khoản dịch vụ, thoát container ra môi trường máy chủ, hoặc xâm phạm quyền truy cập từ xa.

Microsoft cho biết sản phẩm Defender của họ đã ghi nhận hoạt động giới hạn trong tự nhiên có thể chỉ ra việc khai thác Dirty Frag hoặc Copy Fail.

"Sau khi có quyền truy cập nâng cao, tác nhân sẽ sửa đổi tệp xác thực LDAP của GLPI (bằng chứng là tệp .swp từ vim), thực hiện trinh sát thư mục GLPI và cấu hình hệ thống, và kiểm tra một hiện vật khai thác," Microsoft giải thích.

"Hoạt động sau đó chuyển sang truy cập dữ liệu nhạy cảm và tương tác với các tệp phiên PHP — trước tiên xóa nhiều tệp phiên và sau đó xóa mạnh mẽ các tệp khác — trước khi đọc dữ liệu phiên còn lại, cho thấy cả việc làm gián đoạn các phiên hoạt động và truy cập nội dung phiên," công ty thêm vào.

Các bản vá và Giảm thiểu

Các bản phân phối Linux đã bắt đầu phát hành các bản vá và biện pháp giảm thiểu cho Dirty Frag, bao gồm Red Hat, Amazon Linux, Ubuntu, Fedora và Alma Linux.