据公开资料显示,攻击者一旦在目标主机上取得普通用户权限,便可利用该漏洞链进一步提权至 root 权限。与常见提权漏洞不同,Dirty Frag 被描述为一种确定性的逻辑缺陷,不依赖 race condition(竞争条件),且利用失败通常不会导致系统内核崩溃,具备较高的利用稳定性与现实攻击价值。
该漏洞披露时,多个主流 Linux 发行版尚未完成补丁覆盖,建议相关单位立即开展影响排查与缓解处置。
根据公开进展,Dirty Frag 所利用的两个底层页面缓存写入漏洞已分配 CVE 编号:
目前公开信息显示,以下主流 Linux 发行版受到影响:
Ubuntu
Red Hat Enterprise Linux
CentOS Stream
AlmaLinux
Fedora
openSUSE Tumbleweed
说明:具体影响范围仍需以各发行版官方安全公告、内核版本说明及厂商修复通告为准。
Dirty Frag 本质上是一条 Linux 内核本地提权利用链。
研究人员指出,该问题约在9 年前被引入 Linux 内核中的 algif_aead 加密算法接口。
攻击链核心在于串联两个彼此独立的页面缓存写入问题:
攻击者可通过构造特定利用流程,在未经授权的情况下修改系统受保护文件的页面缓存内容,最终实现权限提升并获取 root 权限。
从技术类别看,Dirty Frag 与此前的Dirty Pipe、Copy Fail 属于相近问题家族,但其利用点位并不相同。此次漏洞利用的是另一种内核数据结构中的 fragment 字段,说明 Linux 内核在页面缓存及相关数据结构处理逻辑上,仍可能存在同类缺陷的变种风险。
1. 利用门槛较低漏洞不依赖竞争条件,无需复杂时序控制,提升了攻击成功率。
2. 利用稳定性较高根据披露者说明,漏洞利用过程具备较强确定性,适合在实战攻击中落地。
3. 具备较强隐蔽性利用失败通常不会触发内核 panic,攻击者可反复尝试而不易因系统异常暴露。
4. 适合作为后渗透提权手段该漏洞虽为本地提权,但在实际攻击链中价值极高。攻击者可先通过弱口令、Web 漏洞、供应链投毒、容器逃逸等方式获取普通权限,再利用 Dirty Frag 提权至 root,进一步实现横向移动、持久化驻留或敏感数据窃取。
根据研究人员说明,Dirty Frag 原本处于保密披露流程中。但在 2026 年 5 月 7 日,由第三方独立提前公开了相关利用代码,导致漏洞保密状态被打破。在此背景下,研究人员最终选择公开完整技术文档与 PoC。这意味着,在补丁尚未完全发布的窗口期内,漏洞利用细节已经进入公开流通阶段,相关风险需高度重视。
在官方补丁尚未全面提供前,研究人员建议临时禁用以下内核模块:参考命令如下:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
注意事项:
上述缓解方案可能影响以下业务功能:
因此,建议各单位在生产环境中实施前,先完成业务影响评估、变更审批及回滚方案准备,避免因直接禁用模块导致网络通信或文件服务异常。
结合近期 Linux 安全态势来看,Dirty Frag 并非孤立事件。此前,Linux 本地提权漏洞 Copy Fail 已被确认遭实际利用,并被美国 CISA 纳入KEV(Known Exploited Vulnerabilities)目录。此外,今年 4 月披露的 Pack2TheRoot漏洞也表明,Linux 生态中长期潜伏的本地提权问题正在持续暴露。
这类漏洞的共性在于:
对于政企用户而言,一旦普通账户被攻陷,本地提权漏洞将显著放大事件影响范围,导致权限失控、日志清除、持久化植入及核心业务系统被进一步接管。
针对 Dirty Frag 漏洞,XX安全研究院建议立即开展以下工作:1. 资产排查
梳理使用 Ubuntu、RHEL、CentOS Stream、AlmaLinux、Fedora、openSUSE Tumbleweed 的服务器、云主机及容器宿主节点,建立受影响资产清单。
2. 模块核查
检查目标主机是否已加载 esp4、esp6、rxrpc 模块,并确认是否依赖 IPsec VPN 或 AFS 服务。
3. 补丁跟踪
持续关注 Linux 发行版官方安全公告、内核更新通知及云平台镜像修复进度,补丁发布后尽快完成验证与升级。
4. 权限收敛
收紧本地普通用户权限,减少不必要的 shell 账户与共享账号,严格控制 sudo 配置,降低本地提权攻击面。
5. 加强检测
重点关注以下异常行为:
普通账户异常提权
敏感系统文件缓存异常修改
可疑内核模块加载/卸载行为
未授权 root shell 产生
高风险节点上的异常本地命令执行活动
6. 入侵排查
若目标主机已出现 WebShell、异常登录、容器逃逸、低权限落地等风险迹象,应同步开展本地提权与横向移动排查,避免攻击者借助 Dirty Frag 进一步扩大控制面。
Dirty Frag 的出现再次表明,Linux 内核中围绕页面缓存、片段处理及相关逻辑的数据结构缺陷,仍存在持续演化和变种利用的风险。该漏洞虽然属于本地提权,但在真实攻击场景中具有较高实战价值。一旦攻击者取得普通权限,Dirty Frag 可能迅速成为获取 root 权限的重要通道。
建议相关单位尽快完成影响确认、临时缓解、补丁跟踪与安全加固,重点防范该漏洞在后渗透阶段被用于权限升级与持续控制。
Hyunwoo Kim 公开披露信息
Linux 发行版官方安全公告
CISA Known Exploited Vulnerabilities Catalog