
各位运维、网安同行,紧急预警!
又一个堪比Dirty Pipe、Copy Fail的Linux内核超级漏洞正式出圈,命名Dirty Frag。目前已经监测到野外真实攻击利用,Ubuntu、RHEL、CentOS、Fedora等主流发行版全线中招,普通本地用户可直接提权拿到Root最高权限,容器环境还能实现逃逸,风险已经实打实落地,绝非网传噱头。
最近微软安全团队披露了完整的野外攻击链路,咱们可以直观感受下真实入侵流程。
黑客先通过SSH弱口令、接口漏洞等方式突破外网边界,拿到服务器交互式Shell;随后上传并运行恶意ELF程序,借助su命令触发Dirty Frag漏洞完成瞬间提权。拿下最高权限后,攻击者会立马篡改GLPI系统LDAP认证配置,遍历侦察服务器目录与系统参数,还会刻意删除、强制销毁PHP会话文件,一边窃取敏感数据,一边破坏在线业务会话,整套攻击流程成熟又流畅,完全是黑产常态化的作案手法。

很多同行第一眼看上去,会觉得这又是一个普通的本地提权漏洞,打个补丁就能了事,其实完全低估了它的威胁层级。
Dirty Frag并不是单一漏洞,而是把xfrm-ESP页缓存写入(CVE-2026-43284)和RxRPC页缓存写入(CVE-2026-43500)两个漏洞链式组合,互相弥补短板,实现了几乎全Linux环境通杀。一个隐患埋在2017年的内核代码提交里,另一个在2023年新增代码时埋下伏笔,潜伏多年才被安全研究员挖出。
坦率讲,这类链式内核漏洞最可怕的地方,就是适配性做到了极致。
两大漏洞刚好形成互补闭环:xfrm-ESP漏洞需要创建用户命名空间,适合开放该权限的服务器环境;Ubuntu用AppArmor默认封禁了命名空间创建,却又默认加载rxrpc内核模块,刚好能走第二条RxRPC漏洞的攻击路径。反观RHEL这类企业版系统,默认不预装rxrpc模块,却开放了命名空间权限,照样躲不过攻击。
更离谱的是它的漏洞底层特性:属于确定性逻辑漏洞,完全不需要依赖网络竞态时间窗口,不存在拼运气的情况,利用成功率极高;就算攻击失败,也不会触发内核宕机、系统蓝屏,攻击者可以反复试探,隐蔽性拉满。最坑的一点是,此前大家为防御Copy Fail漏洞做的algif_aead模块拉黑策略,在Dirty Frag面前完全失效,等于之前的防护工作白白做了无用功。除此之外,该漏洞还能突破容器隔离,一旦被利用,攻击者就能从容器内部逃逸控制宿主机,对云原生、容器集群业务来说更是致命威胁。

日常和各行各业的运维朋友交流,总能发现不少普遍存在的安全短板,放在这次漏洞上格外刺眼。
不少团队始终抱着侥幸心理,觉得内核高危漏洞离自己的业务很远,只要端口没暴露、日常业务能跑就行,服务器内核版本常年停滞不更新,任由老旧代码隐患留存。还有很多运维做安全只做表面功夫,跟风封堵过往的老漏洞之后就彻底躺平,从不跟进新漏洞的绕过逻辑和衍生威胁。更普遍的现状是,服务器内核模块完全放任默认配置,esp4、esp6、rxrpc这类用不上的网络协议模块常年开机自启,凭空扩大攻击面;容器部署更是裸奔状态,不做seccomp策略加固、不限制高危内核接口调用,无形中给黑客留好了现成的入侵通道。
我认为这次Dirty Frag漏洞的曝光,就是给所有运维和网安人上了一堂现实课。
Linux内核作为服务器、云计算、嵌入式设备的底层根基,从来不存在一劳永逸的安全。早年遗留的代码漏洞、后期新增协议的逻辑缺陷,随时都可能被安全研究员和黑产挖掘利用。只靠旧防护策略兜底、忽视内核模块精细化管控、放任容器环境无加固运行,早晚都会成为网络攻击的突破口。
眼下官方虽然已经在主线内核完成漏洞补丁修复,也分配了正式CVE编号,但各大Linux发行版的正式推送还需要时间,大家没必要被动等待,先做好临时应急防护才是重中之重。
可以直接复制下面命令,一键把漏洞依赖的三大内核模块拉入黑名单,禁止加载运行,从源头切断攻击利用路径:
Bashsudo sh -c "printf 'install esp4 /bin /false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" |
临时防护做完后,持续关注自己在用的Linux发行版官方公告,内核正式补丁推送后,第一时间完成版本升级,这才是彻底根除风险的核心方式。

站在长期运维加固的角度,也建议大家调整日常安全习惯:恪守最小权限原则,严控普通用户的系统权限,禁用CAP_NET_ADMIN这类高危权限;做内核模块白名单管理,业务用不到的网络、协议模块一律禁用;容器集群统一标配seccomp安全配置,封堵容器逃逸路径;同时搭建系统行为监控,紧盯su异常提权、陌生程序运行、关键配置篡改等行为,做到早感知、早处置。
网络安全从来没有侥幸,内核漏洞一旦大规模扩散,受影响的就是全平台业务。趁现在还没出现批量泛滥攻击,赶紧自查旗下所有Linux服务器,落实防护操作,守住系统底层的安全底线。

