Le chercheur en sécurité Hyunwoo Kim vient de révéler au grand jour une vulnérabilité critique dans le noyau Linux, baptisée Dirty Frag. Cet exploit combine deux vulnérabilités existantes pour permettre à un attaquant d’obtenir un accès root sur presque toutes les distributions majeures. Le taux de réussite de cette attaque est quasiment de 100 %, ce qui en fait une menace immédiate et grave, d’autant plus que les correctifs ne sont pas encore disponibles.
Selon les informations, l’embargo initial concernant la divulgation de cette faille n’a pas été respecté, et l’exploit est désormais accessible publiquement. La publication du Proof of Concept (PoC) s’est faite avant la sortie officielle des patches, d’où une alerte rouge pour les administrateurs et les utilisateurs de Linux. La chaîne de vulnérabilités Dirty connaît déjà quatre membres : Dirty COW (2016), Dirty Pipe (2022), Copy Fail, élaborée récemment par une intelligence artificielle, et maintenant Dirty Frag. Cette dernière exploite des mécanismes légitimes du kernel Linux pour contourner la sécurité et abuser de certaines fonctions comme splice().
Une fois qu’une vulnérabilité est divulguée, le temps presse ; il faut agir rapidement avant qu’elle ne soit exploitée à grande échelle.
Concrètement, Dirty Frag tire parti du mécanisme splice() utilisé dans le noyau Linux, qui permet de transférer des données entre des descripteurs de fichiers sans passer en mémoire, ce qui optimise la performance mais peut s’avérer catastrophique dans certains cas. Les modules réseau IPsec (ESP) et RxRPC sont particulièrement ciblés, car lorsqu’un attaquant utilise splice() pour déplacer une page mémoire dans un buffer réseau, le kernel effectue le chiffrement directement dans la RAM. Cela permet de remplacer les premiers octets d’un fichier tel que /usr/bin/su par du code malveillant, donnant ainsi un shell root à l’attaquant.
Deux CVE sont impliqués dans cette chaîne d’exploitation : CVE-2026-43284, récemment patchée, et CVE-2026-43500, pour laquelle aucun correctif n’existe à l’heure actuelle. La combinaison des deux exploits permet de couvrir la majorité des distributions Linux majeures, comme Ubuntu, RHEL, openSUSE, CentOS, AlmaLinux et Fedora, notamment parce qu’elles utilisent encore par défaut le module rxrpc. Hyunwoo Kim avait reporté la vulnérabilité aux mainteneurs des distributions le 30 avril dernier, mais un tiers a brisé l’embargo, incitant la publication immédiate d’un PoC pour prévenir toute exploitation silencieuse.
Les versions vulnérables testées et confirmées incluent notamment Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10, et Fedora 44. Toute version de noyau compilée depuis 2017 pourrait être concernée. Pour vérifier la vulnérabilité dans un environnement contrôlé, il suffit de suivre quelques étapes simples, telles que cloner le dépôt du PoC, le compiler, puis lancer l’exploit. Le plus souvent, cela suffit à obtenir un shell root, en contaminant le cache mémoire du système.
Face à cette situation critique, que faire ? Actuellement, aucune mise à jour corrigée n’est encore déployée sur la majorité des distributions. La seule solution immédiate consiste à désactiver les modules vulnérables avec une simple commande :
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"Cette méthode permet de blacklister et de décharger les modules affectés, tout en nettoyant le cache page. Généralement, ces modules ne sont pas critiques pour un usage desktop classique, mais un serveur utilisant le VPN IPsec pourrait être vulnérable. La meilleure pratique consiste donc à surveiller les mises à jour de votre distribution, à appliquer rapidement les patches dès qu’ils sont disponibles, et à redémarrer pour assurer la sécurité.
En résumé, la découverte de Dirty Frag souligne la nécessité de rester vigilant face aux exploits logiciels, surtout lorsqu’ils exploiting des mécanismes légitimes du système d’exploitation. La rapidité de la divulgation et des corrections est cruciale pour limiter la propagation de ces vulnérabilités, et cette nouvelle faille en est encore une preuve éclatante.
