前言:最可怕的入侵,是你完全看不见入侵
绝大多数服务器运维的安全排查逻辑都很简单:
校验系统文件哈希、查看 RPM 完整性、用 AIDE/Tripwire 巡检、核对系统日志。
但近日 Linux 内核爆出的两大高危本地提权漏洞,直接颠覆了传统安全检测体系。
哪怕你所有磁盘文件100%正常、校验全部通过、日志毫无痕迹,攻击者依然可以凭借普通账号,直接拿下服务器 Root 最高权限。
这不是个别漏洞,而是Linux 页缓存机制的系统性安全缺陷,同类漏洞或将持续爆发。
今天带你彻底读懂:pedit COW、DirtyClone 两大致命漏洞的原理、风险与应急修复方案。
一、核心致命风险:为什么这次漏洞极度危险?
本次曝光的两个漏洞:
二者虽成因不同,但核心攻击逻辑一致:Page Cache 页缓存内存污染攻击,拥有三大“隐身必杀特性”:
✅ 无文件落地:全程不修改硬盘任何系统文件
✅ 检测全失效:SHA256哈希、RPM校验、AIDE、Tripwire 全部正常
✅ 无痕入侵:部分攻击路径不生成内核审计日志,无溯源痕迹
✅ 攻击门槛极低:POC 代码已公开,可直接复制复现
简单来说:服务器早已被攻陷,运维自查却一切正常。
二、漏洞详解1:pedit COW(CVE-2026-46331)
1. 漏洞位置
漏洞存在于 Linux 内核 Traffic Control(tc)子系统 act_pedit 模块,是典型的写时复制(COW)逻辑缺陷。
2. 正常机制(科普)
Linux 为了保障内存安全,采用 COW 写时复制机制:修改内存数据前,先复制专属副本,仅修改自己的副本内存,绝不篡改共享缓存数据。
3. 漏洞成因
内核代码出现致命逻辑错误:提前做完安全边界检查,再动态计算内存偏移量。
这就导致:运行时计算出的内存偏移超出校验范围,本该修改用户私有副本,最终直接篡改了全局共享的 Page Cache 页缓存。
4. 攻击全过程(细思极恐)
1. 攻击者利用漏洞,仅篡改内存缓存中的 /bin/su 程序;
2. 硬盘上的 su 文件零修改、哈希值零变化、系统校验全部通过;
3. 本地执行 su 命令,系统调用缓存中的恶意程序,直接授予 Root 权限;
4. 全程无日志、无文件篡改,完美隐身。
三、漏洞详解2:DirtyClone(CVE-2026-43503)
DirtyClone 是今年大火的 DirtyFrag 漏洞家族新成员,和 Dirty Pipe、Dirty Frag、Fragnesia 属于同一系列高危漏洞。
1. 漏洞成因
漏洞源于 Linux 网络数据包复制逻辑缺陷:系统复制网络包时,会意外丢失关键安全标记(shared-frag flag)。
内核误判内存归属,将只读的系统文件缓存内存,认定为可自由修改的网络包内存。
2. 攻击流程
1. 将系统核心程序 /usr/bin/su 加载至页缓存;
2. 劫持页面映射关系,绑定到自定义网络数据包;
3. 利用 IPsec 解密逻辑篡改缓存内的 su 程序;
4. 任何人执行 su 命令,自动获取 Root 权限,磁盘文件始终完好无损。
四、核心疑问:为什么文件完整性工具全部失效?
很多运维疑惑:明明做了文件校验、实时监控,为什么查不出问题?
答案很简单:攻击目标从来不是硬盘,而是内存。
Linux 为提升性能,会将常用程序、系统文件缓存到 Page Cache 页缓存(内存中)。
传统安全工具(AIDE、Tripwire、RPM、哈希校验)只校验磁盘静态文件,完全不检测运行中的内存缓存。
✅ 磁盘文件:完好、校验正常、无篡改
❌ 内存缓存:已被植入恶意代码、受控提权
这也是本次漏洞最核心的隐身破坏力。
五、受影响系统 & 高危场景
1. 主流受影响发行版
Debian、Fedora、RHEL、Ubuntu(多数版本)
*注:新版 Ubuntu 因 AppArmor 限制,默认利用路径受阻,但底层漏洞依然存在,无法彻底免疫。
2. 漏洞利用必备条件
1. 系统开启 非特权用户命名空间(Unprivileged User Namespace)
2. 普通用户可获取 namespace 内的 CAP_NET_ADMIN 权限
3. 风险最高的业务场景(重点排查)
这类漏洞为本地提权漏洞,攻击者只需拥有普通账号即可爆破,以下环境风险拉满:
云服务器、公有云主机
Kubernetes 集群、Docker 宿主机
CI/CD 自动化运行节点
多租户共享服务器、高校/实验室计算集群
个人电脑风险较低,企业服务器、集群环境为重灾区。
六、应急缓解方案(临时+根治)
1. 根治方案(首选)
立即升级 Linux 内核至最新稳定版,这是唯一彻底修复方式。
2. 临时应急防护(无法升级内核可执行)
针对 pedit COW 漏洞:
业务无依赖则禁用 act_pedit 模块
关闭非特权 User Namespace
针对 DirtyClone 漏洞:
3. 注意事项
上述临时防护会影响:Rootless Docker、Rootless Podman、浏览器沙箱、CI/CD 沙箱环境,操作前需充分评估业务兼容性。
七、重要安全趋势:一类长期存在的内核顽疾
从早期的 Dirty Pipe、Copy Fail、Dirty Frag、Fragnesia,到如今的 DirtyClone、pedit COW,这类漏洞已经形成持续性漏洞家族。
其本质是 Linux 内核 零拷贝、网络栈、页缓存机制的系统性缺陷:
只要内核代码中存在共享标记校验缺失、COW 写时复制语义不严谨的路径,就会持续衍生出新的页缓存提权漏洞。
未来,此类无痕、高隐藏性、高权限的本地提权漏洞,会成为 Linux 服务器的常态化威胁。
八、运维总结 & 行动建议
🔥 重点总结
1. 两大漏洞 POC 公开,攻击零门槛,可直接提权 Root;
2. 无文件篡改、无有效日志、绕过所有传统文件完整性检测;
3. 云集群、容器环境、多租户服务器为最高风险场景;
4. 临时防护有业务损耗,升级内核是唯一最优解。
✅ 紧急行动建议
1. 全网扫描内核版本,优先升级业务低风险服务器;
2. 临时关闭非特权用户命名空间,阻断核心利用路径;
3. 摒弃“只查磁盘文件”的老旧巡检逻辑,新增内存安全审计;
4. 持续关注 Linux 内核页缓存、零拷贝相关安全补丁。
转发提醒团队!及时修复,杜绝无痕提权入侵!