前言
最近,安全圈被一个新的 Linux 内核漏洞刷屏——Dirty Frag。
它的影响范围、利用稳定性以及传播速度,都让它迅速成为继 Dirty Pipe 之后最受关注的 Linux 提权漏洞之一。
更关键的是:
在官方补丁尚未完全成熟之前,PoC 已经公开传播。
这意味着,全球大量 Linux 服务器正处于一个“可被稳定提权”的窗口期。
01|Dirty Frag 是什么?
Dirty Frag 是一个 Linux 内核本地提权漏洞(Local Privilege Escalation, LPE)。
攻击者在具备普通用户权限的前提下,可以直接提升为 root 权限。
该漏洞由安全研究员 Hyunwoo Kim(V4bel) 公开,核心机制是:
通过链式利用两个内核缺陷,实现对 Page Cache 的非法写入,从而篡改内核关键数据结构。
涉及两个关键漏洞:
CVE-2026-43284(xfrm-ESP 相关 Page Cache 写入问题)
CVE-2026-43500(RxRPC 相关 Page Cache 写入问题)
最终组合形成一个稳定的提权链路。
02|为什么它比传统提权漏洞更危险?
Dirty Frag 的危险性不在“有没有漏洞”,而在于它的“工程化程度”。
1)无需 race condition(极其关键)
传统内核提权漏洞往往依赖:
而 Dirty Frag:
完全 deterministic(确定性利用)
意味着:
2)利用失败不会导致系统崩溃
很多内核 exploit:
失败 = kernel panic
而 Dirty Frag:
失败 ≠ 崩溃 更适合真实攻击环境长期运行
3)影响范围极广(几乎所有主流发行版)
已验证影响包括:
并且漏洞可能早在 2017 年就已引入内核代码路径。
03|攻击链路是怎么工作的?
从技术角度看,Dirty Frag 属于典型的:
Linux kernel page cache write primitive abuse
攻击路径可以抽象为:
Step 1:普通用户获得执行能力
例如:
Step 2:触发 xfrm-ESP / RxRPC 内核路径
利用网络子系统中的处理逻辑:
Step 3:污染 Page Cache
攻击者可以:
Step 4:篡改关键执行路径
例如:
Step 5:直接获得 root
整个过程:
无需崩溃、无需重试、成功率极高
04|为什么这类漏洞越来越频繁?
Dirty Frag 并不是孤立事件,它属于一个趋势:
- Dirty Pipe(pipe buffer write)
- Dirty Frag(page cache + network stack)
共同特点是:
Linux 内核“共享内存机制”正在成为攻击重点
尤其是:
这些模块有三个特点:
05|现实风险在哪里?
Dirty Frag 最大风险不是“单机提权”,而是:
云环境与容器环境
尤其是:
攻击链通常是:
Web 漏洞 → shell → Dirty Frag → root → 横向移动
一句话说明风险
任何“能执行低权限代码”的 Linux 环境,都可能被一键升级为 root 控制权
06|有没有修复方案?
目前状态是:
部分发行版正在快速修复
但在完全 patch 前,主要依赖:
临时缓解措施(Mitigation)
通常包括:
示例:
modprobe -r esp4 esp6 rxrpc
或 blacklist:
echo"blacklist esp4" >> /etc/modprobe.d/disable.conf
echo"blacklist esp6" >> /etc/modprobe.d/disable.conf
echo"blacklist rxrpc" >> /etc/modprobe.d/disable.conf
但是你要知道的是:
这些措施可能影响:
需要谨慎评估。
07|对企业安全的真实启示
Dirty Frag 其实暴露了一个更现实的问题:
Linux 内核攻击正在“工程化”
过去:
现在:
企业必须开始关注:
1)内核行为监控能力
- privilege escalation pattern
2)容器逃逸检测
3)低权限 → root 行为链分析
08|总结
Dirty Frag 本质上不是“一个漏洞”,而是一个信号:
Linux kernel exploit 正在进入稳定化与工程化阶段
它告诉我们三件事: