Dirty Frag: Falha Crítica no Linux Revelada

Exploit ‘Dirty Frag’ concede acesso root imediato em sistemas Linux desde 2017; sem patches disponíveis.

O Que é o Dirty Frag?

Uma nova vulnerabilidade devastadora, apelidada de ‘Dirty Frag’, surgiu, seguindo os passos do exploit ‘Copy Fail’. Esta falha permite acesso root instantâneo na maioria dos sistemas Linux desde 2017.

Impacto Abrangente e Sem Patches

  • Acesso Imediato: Qualquer usuário local pode obter privilégios de administrador (root) executando um pequeno programa, sem depender de condições específicas do sistema ou tempo.
  • Sistemas Afetados: Quase todas as distribuições Linux populares desde 2017 são vulneráveis, incluindo, mas não se limitando a, versões atuais do Ubuntu (24 e 26), Arch, RHEL, OpenSUSE, CentOS Stream, Fedora, Alma e até WSL2.
  • Perigo Extremo: No momento, não há patches disponíveis para o Dirty Frag, tornando-o espetacularmente perigoso. Até o kernel Linux principal não possui correções, com relatos de exploração bem-sucedida em máquinas CachyOS (kernel 7.0.3-1-cachyos) e Arch atualizadas.

Causa da Revelação Precoce

Embora a vulnerabilidade tenha sido relatada à equipe do kernel Linux em 30 de abril, um “terceiro não relacionado” quebrou o embargo para a revelação. A principal teoria é que isso significa que o exploit já está sendo usado por atores maliciosos.

Como se Proteger (Mitigação)

Felizmente, a mitigação é simples e, provavelmente, não afetará a vasta maioria dos servidores:

Desative os módulos esp4, esp6 e rxrpc. Estes estão relacionados em vários graus à rede IPSec e são improváveis de serem usados, a menos que a máquina em questão seja um cliente ou servidor IPSec.

sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Detalhes Técnicos Breves

O Dirty Frag explora uma operação zero-copy, inserindo um descritor de cache de página, similar ao Copy Fail. A diferença é que, desta vez, o código falho está nos módulos relacionados ao IPSec. A vulnerabilidade original, “xfrm-ESP Page Cache Write”, foi introduzida no kernel commit cac2661c53f3 de 2017.

Como Testar seu Sistema

Para verificar se sua máquina é vulnerável, você pode usar:

git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp
Baseado no artigo de Tom’s Hardware
  • 07/05/2026 - 22:30