高危预警|DirtyFrag Linux内核提权漏洞公开!覆盖9年版本,信创系统也受影响
紧急安全预警
近日,安全研究员公开了高危Linux内核本地提权漏洞——DirtyFrag的全部细节及EXP利用代码,漏洞保密期意外提前终止,暂无官方稳定修复补丁。该漏洞利用门槛极低,普通本地用户可一键提权至Root权限,影响近9年几乎所有主流Linux发行版,国产信创系统、云容器集群、CI/CD环境均在受影响范围内,企业需立即自查处置!不同于过往同类漏洞,DirtyFrag可绕过现有Copy Fail漏洞缓解策略,通用性、稳定性极强,是当前Linux系统亟需重点防护的高危漏洞。一、漏洞核心信息
漏洞名称:DirtyFrag Linux内核本地提权漏洞核心风险:低门槛本地提权、跨容器逃逸、突破租户隔离当前状态:漏洞细节、POC/EXP代码完全公开,官方补丁尚未全面推送,暂无大规模在野利用记录二、漏洞原理:新型页缓存污染提权
DirtyFrag 属于Linux内核经典的「Dirty系列」漏洞,与Dirty Pipe、Copy Fail漏洞同源,核心均为内核页缓存写入边界校验失效,但利用路径全新,可绕过原有防护手段。简单来说,攻击者可通过splice()零拷贝机制,将只读文件的页缓存页面挂载到网络数据包的碎片缓冲区中。内核在执行网络协议原地加解密操作时,会意外修改只读文件的缓存数据,造成页缓存污染。该漏洞不会篡改磁盘原始文件,但系统读取、执行文件时会加载被污染的缓存内容,最终让普通本地用户直接获取系统最高Root权限。本次漏洞采用双路径互补利用设计,适配全场景Linux系统:xfrm-ESP路径:利用esp4/esp6网络模块,适配绝大多数Linux发行版,依赖用户命名空间,默认场景可直接利用RxRPC路径:利用rxrpc内核模块,无需任何特权,弥补Ubuntu等系统的防护盲点双重路径相互兜底,让漏洞跨版本、跨系列通用,提权成功率接近100%,且无竞争条件、不会造成内核崩溃,稳定性极强。同时,原有Copy Fail漏洞的algif_aead黑名单防护手段,对该漏洞完全无效。三、超低利用门槛,极易被攻击
该漏洞无需远程攻击入口,攻击者只需获取任意本地普通用户权限,即可发起提权攻击,核心利用条件如下:目标内核为2017年1月(v4.11)及以上版本(ESP变体)、2023年6月(v6.5)及以上版本(RxRPC变体),覆盖近9年主流内核ESP变体:系统默认允许创建用户命名空间(绝大多数服务器默认配置)RxRPC变体:无需特权、无需命名空间,仅需rxrpc模块加载(Ubuntu默认加载)目前公开EXP已实现一键自动化提权,普通运维人员、恶意攻击者均可快速操作,风险扩散速度极快。四、全覆盖影响范围,信创系统未能幸免
经实测验证,本次漏洞覆盖主流商用Linux、国产信创Linux两大体系,绝大多数线上业务系统均受影响:✅ 开源/商用Linux系统
Ubuntu 22.04/24.04、RHEL 10.1、Rocky Linux 10.1、AlmaLinux 8.10/10、CentOS Stream 10、openSUSE、Fedora、Debian等✅ 国产信创系统
统信UOS 1070、优麒麟24.04.1、openEuler、CTyunOS等(UOS 1060版本暂不受影响)五、重点高风险业务场景,优先处置!
不同业务场景风险等级差异极大,以下场景风险最高,需立即应急防护:🔴 极高风险:多租户容器/云环境
K8s集群、云主机多租户、容器沙箱、Serverless服务。攻击者可通过容器内普通权限,突破容器隔离、跨越租户边界,直接控制宿主机,横向渗透全网业务。🔴 极高风险:CI/CD流水线环境
Jenkins、GitLab Runner、GitHub Actions等可执行外部代码的构建环境,恶意PR、恶意代码可直接提权接管流水线宿主机。🟡 中等风险:单租户生产服务器
常被作为内网横向移动、RCE漏洞后续提权的核心利用手段,威胁内网业务安全。🟢 低风险:单用户工作站、个人PC
可将本地任意代码执行权限提升为Root权限,本地安全风险较高。六、临时应急缓解方案(可直接落地)
目前各厂商尚未发布官方内核修复补丁,建议优先采用临时缓解措施,阻断漏洞利用。操作前请评估业务影响:禁用esp4/esp6模块会影响IPsec VPN业务,禁用rxrpc模块会影响AFS文件服务,无对应业务可直接执行!1、写入模块黑名单,禁止恶意加载
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf"2、卸载当前已加载风险模块
sudo rmmod esp4 esp6 rxrpc 2>/dev/null || true3、重启服务器并验证生效
重启系统后,执行以下命令验证模块是否已禁用,无输出即为防护成功:lsmod |grep -E '^(esp4|esp6|rxrpc)'4、辅助降风险(ESP场景专用)
若内核已内置ESP功能(无法卸载模块),可禁用用户命名空间降低攻击风险:临时生效
sudo sysctl -w user.max_user_namespaces=0永久生效
echo 'user.max_user_namespaces = 0'| sudo tee /etc/sysctl.d/99-disable-userns.conf注:该操作可能影响rootless容器、沙箱、CI构建环境,需提前评估业务兼容性。七、漏洞修复最新进展
xfrm-ESP变体修复补丁已合并至Linux内核netdev主线RxRPC变体修复补丁已提交邮件列表,暂未合入上游各Linux发行版、国产信创系统厂商正在评估适配,暂未推送正式安全更新八、企业安全建议
立即自查资产:梳理内网Linux服务器、容器节点、信创系统版本,优先防护云集群、CI/CD核心环境;落地临时防护:无IPsec、AFS业务的服务器,尽快执行模块禁用操作,阻断漏洞利用;强化安全监测:重点监控本地用户异常提权、dash进程异常创建、内核模块异常加载行为;等待官方补丁:持续关注操作系统厂商更新,待稳定补丁发布后,及时升级内核彻底修复漏洞;权限收紧:最小化普通用户本地权限,避免非必要本地账号登录服务器。