În mai puțin de două săptămâni, comunitatea Linux a trebuit să gestioneze două vulnerabilități grave de escaladare locală a privilegiilor, descoperite independent, exploatate public înainte ca patch-urile să fie coordonate și adăugate pe lista CISA Known Exploited Vulnerabilities. Fiecare dintre ele oferă un utilizator neprivilegiat acces root pe aproape orice distribuție Linux majoră.
Numite Copy Fail și Dirty Frag, cele două vulnerabilități nu sunt simple bug-uri izolate: fac parte din aceeași clasă de probleme structurale care a produs și Dirty Pipe în 2022. Dacă schema pare familiară, este pentru că este.
Cronologia evenimentelor
23 Martie 2026
Raportare Copy Fail
Firma Theori raportează CVE-2026-31431 echipei de securitate a kernelului Linux. Descoperit cu unealta AI Xint Code în ~1 oră de scanare.
1 Aprilie 2026
Patch mainline Copy Fail
Commit-ul de remediere ajunge în upstream Linux. CVE-2026-31431 alocat pe 22 aprilie.
29 Aprilie 2026
Divulgare publică Copy Fail + exploit PoC
Detaliile complete și codul de exploatare devin publice. Distribuțiile încep să livreze patch-uri.
1 Mai 2026
CISA adaugă Copy Fail în catalogul KEV
Copy Fail este exploatat activ în natură la doar două zile de la divulgare publică.
29-30 Aprilie 2026
Raportare privată Dirty Frag
Cercetătorul Hyunwoo Kim (@v4bel) raportează CVE-2026-43284 și CVE-2026-43500 echipei kernel.
7 Mai 2026
Embargo rupt — Dirty Frag divulgat public
O terță parte neimplicată publică detaliile înainte de coordonarea distribuțiilor. Kim divulgă complet același zi, cu PoC funcțional.
8 Mai 2026
Patch mainline CVE-2026-43284; CVE-2026-43500 nepatchat
Kernelul Linux patcheaza componenta ESP. Componenta RxRPC rămâne fără patch la momentul publicării.
Comparație tehnică: Copy Fail vs. Dirty Frag
CVECVE-2026-31431
Subsistemalgif_aead (crypto)
Introdus în kernel2017
Descoperit deTheori cu AI (Xint Code)
Exploatat activDa — CISA KEV
CVECVE-2026-43284 + CVE-2026-43500
Subsistemexfrm-ESP (IPsec) + RxRPC
Introdus în kernel2017 (ESP), 2023 (RxRPC)
Descoperit deHyunwoo Kim (@v4bel)
Exploatat activPosibil (Microsoft Defender)
Clasa de bug-uri: o problemă structurală
Aceeași clasă de vulnerabilități — trei instanțe în patru ani
Dirty Pipe
CVE-2022-0847
→
Copy Fail
CVE-2026-31431
→
Dirty Frag
CVE-2026-43284/43500
Toate trei exploatează o cale zero-copy din kernel în care o pagină controlată de atacator este injectată într-o structură de date de kernel. Un consumator downstream presupune că bufferul este deținut exclusiv de kernel și efectuează o scriere in-place — atacatorul controlează unde aterizează acea scriere, într-o pagină la care ar trebui să aibă doar acces de citire.
Ceea ce face Dirty Frag deosebit de îngrijorător față de predecesorii săi este fiabilitatea sa: nu depinde de race conditions sau ferestre de timing fragile. Este un bug logic determinist — nu necesită condiție de concurență, kernelul nu intră în panică la un exploit eșuat și rata de succes este foarte ridicată, după cum a explicat chiar cercetătorul Kim.
„Dirty Frag nu depinde de o fereastră de timing. Este un bug logic determinist — kernelul nu intră în panică la un eșec, iar rata de succes este foarte ridicată. Este tipul de vulnerabilitate pe care un atacator cu acces local îl preferă."
— Hyunwoo Kim (@v4bel), cercetător securitate
Unghiul AI: descoperirea accelerată de mașini
🤖 AI în descoperirea vulnerabilităților
Copy Fail a fost descoperit de Theori folosind unealta AI Xint Code — aproximativ o oră de scanare a subsistemului crypto/ cu un singur prompt de operator, fără harness personalizat. Cercetătorul Casey Ellis (Bugcrowd) a comentat că Theori „nu a pivotat spre AI din urmărirea unui trend — a pivotat pentru că matematica acum favorizează această abordare." Dacă unealtele AI pot scana subsisteme mari ale kernelului în ore, nu săptămâni, rata de descoperire a vulnerabilităților din aceeași clasă de bug-uri va crește semnificativ.
Mitigări temporare și corecție definitivă
🔴 Copy Fail (CVE-2026-31431)
echo "install algif_aead /bin/false" > /etc/modprobe.d/copyfail.conf
rmmod algif_aead 2>/dev/null
Soluția definitivă: actualizare kernel la versiunea cu patch pentru distribuția voastră.
🟠 Dirty Frag (CVE-2026-43284/43500)
printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf
rmmod esp4 esp6 rxrpc 2>/dev/null
echo 3 > /proc/sys/vm/drop_caches
⚠️ Dezactivarea esp4/esp6 poate întrerupe funcționalitatea IPsec/VPN. Evaluați impactul înainte de aplicare.
Un detaliu important: sistemele care au aplicat doar mitigarea Copy Fail (lista neagră a modulului algif_aead) rămân vulnerabile la Dirty Frag — cele două vulnerabilități folosesc subsisteme diferite. Dirty Frag poate corupta binar-e de sistem legitime din page cache, care rămân disponibile ca backdoor până la reboot sau curățarea manuală a cache-ului.
Status distribuții majore
Ubuntu — patch disponibilAlmaLinux — patch disponibilFedora — patch disponibilRHEL — patch disponibilopenSUSE — patch disponibilParrot OS 7.2 — kernel 6.19.13CVE-2026-43500 (RxRPC) — patch în cursMicrosoft Defender — activitate limitată detectată
Concluzia incomodă este că această clasă de bug-uri nu a fost epuizată. Dirty Pipe, Copy Fail și Dirty Frag sunt trei instanțe ale aceleiași probleme structurale — o cale zero-copy în kernel care nu verifică suficient proprietatea paginilor înainte de scrieri in-place. Atâta timp cât kernelul Linux conține subsisteme cu această arhitectură, probabilitatea de a descoperi alte instanțe rămâne reală. Cu unealtele AI care accelerează dramatic scanarea subsistemelor complexe, intervalul de timp dintre descoperiri va continua să se scurteze.
Comentarii
Trimiteți un comentariu