Dirty Frag: nova falha zero-day no Linux permite root com um único comando

Uma nova falha zero-day no Linux, batizada de Dirty Frag, permite que um atacante local obtenha privilégios de root em várias distribuições importantes com um único comando, segundo o pesquisador Hyunwoo Kim, que divulgou o problema e publicou um proof of concept (PoC).

O ponto crítico, de acordo com a divulgação, é que a falha teria sido introduzida há cerca de nove anos no kernel Linux, dentro da interface criptográfica algif_aead. O Dirty Frag explora a combinação de duas vulnerabilidades diferentes no kernel, ligadas às rotinas xfrm-ESP e RxRPC, para alterar em memória arquivos protegidos do sistema e chegar ao root.

Apesar de ser comparada a casos anteriores como Dirty Pipe e Copy Fail, a nova falha explora o campo fragmento de uma estrutura diferente do kernel. Kim afirma que o bug é determinístico, não depende de janela de tempo e não exige race condition, o que ajuda a explicar a alta taxa de sucesso relatada.

Na prática, o impacto é relevante para administradores de sistemas e equipes de segurança que mantêm servidores e estações Linux expostos a usuários locais com acesso prévio ao sistema. A divulgação menciona impacto em Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed e Fedora, entre outras distros que ainda não tinham recebido correções no momento da publicação original.

A situação ganhou um componente adicional porque a divulgação completa acabou sendo antecipada: um terceiro publicou o exploit antes do fim do embargo. Diante disso, o material técnico e o PoC foram liberados com acordo de mantenedores de distribuições.

Como medida temporária de mitigação, foi sugerido desabilitar os módulos esp4, esp6 e rxrpc do kernel. Isso, porém, tem custo operacional: a ação pode quebrar VPNs IPsec e sistemas de arquivos distribuídos AFS, então não é uma correção simples para ambientes de produção.

O caso chega enquanto distribuições ainda distribuem correções para o problema apelidado de Copy Fail, outra falha de escalonamento local de privilégios que já está sendo explorada em ataques. Em paralelo, a CISA incluiu Copy Fail no catálogo KEV e deu prazo para órgãos federais corrigirem seus sistemas Linux.

Até o momento descrito na notícia original, ainda não havia patch nem CVE para o Dirty Frag; depois, as duas falhas de page-cache envolvidas passaram a ser rastreadas pelos identificadores CVE-2026-43284 e CVE-2026-43500.