Uma nova vulnerabilidade devastadora, apelidada de ‘Dirty Frag’, surgiu, seguindo os passos do exploit ‘Copy Fail’. Esta falha permite acesso root instantâneo na maioria dos sistemas Linux desde 2017.
Embora a vulnerabilidade tenha sido relatada à equipe do kernel Linux em 30 de abril, um “terceiro não relacionado” quebrou o embargo para a revelação. A principal teoria é que isso significa que o exploit já está sendo usado por atores maliciosos.
Felizmente, a mitigação é simples e, provavelmente, não afetará a vasta maioria dos servidores:
Desative os módulos esp4, esp6 e rxrpc. Estes estão relacionados em vários graus à rede IPSec e são improváveis de serem usados, a menos que a máquina em questão seja um cliente ou servidor IPSec.
sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"O Dirty Frag explora uma operação zero-copy, inserindo um descritor de cache de página, similar ao Copy Fail. A diferença é que, desta vez, o código falho está nos módulos relacionados ao IPSec. A vulnerabilidade original, “xfrm-ESP Page Cache Write”, foi introduzida no kernel commit cac2661c53f3 de 2017.
Para verificar se sua máquina é vulnerável, você pode usar:
git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp