Een nieuwe kritieke Linux-kwetsbaarheid met de naam Dirty Frag zorgt voor onrust onder systeembeheerders en Linux-distributeurs. De fout maakt het mogelijk om vanuit een lokaal account direct rootrechten te verkrijgen op een groot aantal Linux-systemen die sinds 2017 zijn uitgebracht. Inmiddels zijn de eerste patches echter wel beschikbaar gekomen voor sommige distributies.
Dit melden verschillende bronnen, waaronder Tom’s Hardware en AlmaLinux. Dirty Frag werd deze week openbaar gemaakt nadat een embargo rond de kwetsbaarheid voortijdig werd doorbroken. Volgens de openbaar gemaakte informatie gaat het om een fout in de Linux-kernel die zich bevindt in onderdelen rond IPsec ESP en rxrpc. De kwetsbaarheid zou eenvoudig uit te buiten zijn en treft vrijwel alle grote Linux-distributies, waaronder Ubuntu, Fedora, RHEL-gebaseerde systemen, Arch Linux en AlmaLinux.
De aanval lijkt technisch sterk op de eerder opgedoken Copy Fail-kwetsbaarheid. In beide gevallen wordt misbruik gemaakt van fouten in zogeheten zero-copy-operaties binnen de kernel. Een aanvaller kan daardoor geheugengegevens manipuleren die gekoppeld zijn aan gevoelige systeembestanden, waardoor uiteindelijk roottoegang mogelijk wordt.
Aanvankelijk werd gemeld dat er nog geen patches beschikbaar waren, maar AlmaLinux heeft inmiddels eigen bijgewerkte kernels uitgebracht via zijn testing repositories. Daarbij gebruikt de distributie een upstream-fix voor de ESP-component die door kernelontwikkelaars beschikbaar is gesteld. Volgens AlmaLinux was de ernst van het lek reden om niet te wachten op officiële updates vanuit Red Hat of CentOS Stream.
AlmaLinux start tests met aangepaste kernels
De distributie meldt dat alle ondersteunde AlmaLinux-versies kwetsbaar zijn, maar dat aangepaste kernels inmiddels klaarstaan voor tests. Voor AlmaLinux 8, 9 en 10 zijn specifieke kernelversies gepubliceerd waarin de kwetsbaarheid is verholpen. Na aanvullende validatie door de community moeten de patches ook beschikbaar komen in de reguliere productiekanalen.
Volgens AlmaLinux vormt Dirty Frag vooral een groot risico op systemen waar meerdere gebruikers toegang hebben, zoals gedeelde servers, CI-omgevingen, containerplatformen en buildservers. Omdat inmiddels ook publieke exploitcode beschikbaar is, adviseert de distributie beheerders om snel actie te ondernemen.
Voor systemen die nog niet direct kunnen worden bijgewerkt, blijft een tijdelijke mitigatie beschikbaar. Daarbij worden de kernelmodules esp4, esp6 en rxrpc uitgeschakeld. Deze modules zijn gekoppeld aan IPSec- en AFS-functionaliteit en worden op veel standaardinstallaties niet actief gebruikt. AlmaLinux benadrukt wel dat systemen die afhankelijk zijn van deze functionaliteit beter direct naar een gepatchte kernel kunnen overstappen.
Daarnaast adviseert de distributie om de page cache van het systeem leeg te maken wanneer er vermoedens zijn dat een systeem al is gecompromitteerd. Daarmee worden mogelijk gemanipuleerde cachepagina’s verwijderd zodat bestanden opnieuw vanaf schijf worden geladen.
De kwetsbaarheid werd ontdekt door onderzoeker Hyunwoo Kim, die ook betrokken was bij de openbaarmaking van Copy Fail. Volgens AlmaLinux werd de verantwoordelijke openbaarmaking verstoord doordat een derde partij het embargo voortijdig verbrak. Daardoor kwamen details en exploitcode beschikbaar voordat distributies gezamenlijk beveiligingsupdates konden voorbereiden.