该漏洞利用被命名为 DirtyDecrypt(也称作 DirtyCBC),由V12安全团队在本月初发现,而相关补丁已于今年4月发布。
V12团队尚未公布此安全缺陷的CVE编号,但指出这是RxGK子系统中rxgk_decrypt_skb组件内一处缺失的写时复制(Copy-on-Write, COW)保护机制。
RxGK 是 RxRPC网络协议的一个安全类别,主要用于Andrew文件系统(AFS) 和OpenAFS,它依赖GSSAPI框架来提供身份验证、保密性和完整性保护。
据研究员Moselwal指出,由于COW保护机制的缺失,系统会接受过大的响应认证器(oversized response authenticators),这导致数据可能被写入特权进程的内存中,或写入特权文件(如 SUID二进制文件)的页面缓存(page cache)。
正如Tharros Labs高级首席漏洞分析师Will Dormann所分析,其根本问题可能指向 CVE-2026-31635(CVSS评分为7.5),这是一个于4月24日披露的Linux内核漏洞,当时主流Linux版本已推送了补丁。
DirtyDecrypt 仅影响那些在编译时启用并配置了 CONFIG_RXGK 选项的发行版,例如 Arch Linux、Fedora 和 openSUSE。
在容器平台中,所有运行易受攻击发行版的工作节点都可能为攻击者提供一条逃逸出Pod的路径。
根据V12的说法,该漏洞是近期发现的 CopyFail、DirtyFrag 和 Fragnesia 等一系列Linux内核漏洞的一个变种,所有这些漏洞都能在受影响的系统上授予root访问权限。
上周披露、官方编号为 CVE-2026-46300 的 Fragnesia 漏洞影响了XFRM ESP-in-TCP子系统。它允许攻击者覆盖敏感的系统文件并获取root权限。
本月早些时候公布的 Dirty Frag 漏洞利用,则串联了Linux内核中的两个漏洞(其中一个影响RxRPC组件)来实现提权到root。
Copy Fail 漏洞于4月下旬披露,它使攻击者能够修改setuid-root二进制文件的内存副本,从而获取root shell访问权限。威胁行为者在漏洞披露不久后即开始利用它。
PoC:https://github.com/v12-security/pocs/tree/main/dirtydecrypt
- END -