[CRITICAL] Dirty Frag (CopyFail2) - Nieuwe Linux Kernel Privilege Escalation kwetsbaarheid

Aangepast:

In deze blog vertellen we je alles over wat we nu weten m.b.t. de Dirty Frag (CopyFail2) exploit!

Onderzoekers hebben een nieuwe kritieke Linux kernel kwetsbaarheid openbaar gemaakt onder de naam Dirty Frag (ook wel aangeduid als CopyFail2). De kwetsbaarheid maakt het mogelijk voor een lokale gebruiker om rootrechten te verkrijgen op kwetsbare Linux-systemen.

Dirty Frag wordt gezien als een opvolger van eerdere Linux kernel exploits zoals Dirty Pipe en Copy Fail. Inmiddels is er publieke Proof-of-Concept (PoC) exploitcode beschikbaar, waardoor het risico op misbruik aanzienlijk toeneemt.

Volgens publieke analyses treft de kwetsbaarheid een groot aantal Linux-distributies en kernelversies vanaf circa 2017.

Technische uitleg

Dirty Frag betreft een Local Privilege Escalation (LPE) kwetsbaarheid in de Linux kernel. De fout bevindt zich in een zero-copy/page-cache gerelateerd pad binnen de networking stack.

De kwetsbaarheid is gekoppeld aan onder andere:

  • XFRM/IPsec subsystemen
  • ESP-in-UDP verwerking
  • RxRPC functionaliteit
  • MSG_SPLICE_PAGES / no-COW fast path

De exploit maakt misbruik van foutieve verwerking van paginareferenties binnen de kernel. Hierdoor kan een niet-geprivilegieerde gebruiker gecontroleerde wijzigingen uitvoeren op read-only page cache pagina’s.

In de praktijk kan dit leiden tot:

  • privilege escalation naar root;
  • overschrijven van kritieke bestanden;
  • persistence op Linux hosts;
  • manipulatie van beveiligingsmechanismen.

Publieke analyses beschrijven de aanval als:

  • betrouwbaar;
  • relatief eenvoudig uitvoerbaar;
  • niet afhankelijk van complexe race conditions;
  • geschikt voor lokale privilege escalation scenario’s.

Impact

Een succesvolle exploit kan leiden tot volledige compromittering van Linux-systemen.

Mogelijke impact:

  • volledige root compromise;
  • uitschakelen van security tooling;
  • installatie van persistence/backdoors;
  • laterale beweging binnen omgevingen;
  • container escape scenario’s;
  • compromittering van CI/CD runners en shared Linux servers.

Hoewel de kwetsbaarheid lokale toegang vereist, is dit in moderne omgevingen vaak relatief eenvoudig te verkrijgen via bijvoorbeeld:

  • webshells;
  • gecompromitteerde accounts;
  • containers;
  • SSH-toegang;
  • developer omgevingen;
  • shared hosting platformen.

Getroffen systemen

Publiek genoemde distributies omvatten onder andere:

  • Ubuntu
  • RHEL
  • CentOS Stream
  • AlmaLinux
  • Fedora
  • OpenSUSE
  • Arch Linux
  • WSL2
  • CloudLinux

Getroffen kernels lijken terug te gaan tot commits uit januari 2017.

Risicobeoordeling

FactorBeoordeling
AanvalscomplexiteitLaag
Vereiste privilegesLage lokale privileges
Remote exploiteerbaarNee (direct)
Publieke exploit beschikbaarJa
ImpactKritiek
DetecteerbaarheidBeperkt

Tijdelijke mitigaties

Let op: onderstaande mitigaties worden genoemd door meerdere community- en vendorbronnen, maar waren op moment van publicatie nog niet officieel upstream bevestigd.

Meerdere leveranciers adviseren het tijdelijk uitschakelen van de volgende modules:

  • esp4
  • esp6
  • rxrpc

Mitigatiecommando’s

cat <<EOF | sudo tee /etc/modprobe.d/disable-dirtyfrag.conf install esp4 /bin/false install esp6 /bin/false install rxrpc /bin/false EOF

sudo modprobe -r esp4 esp6 rxrpc 2>/dev/null

sudo sync && echo 3 | sudo tee /proc/sys/vm/drop_caches

Controleer mitigatie

lsmod | grep -E 'esp4|esp6|rxrpc'

Impact van mitigatie

Het uitschakelen van deze modules kan impact hebben op:

  • IPsec VPN functionaliteit;
  • StrongSwan implementaties;
  • RxRPC/AFS functionaliteit.

Controleer vooraf afhankelijkheden binnen de omgeving voordat mitigaties worden uitgerold.

Detectie & Hunting

Omdat Dirty Frag een lokale privilege escalation betreft, zijn detecties voornamelijk gericht op:

  • verdachte privilege escalation;
  • onverwachte module loads;
  • exploit tooling execution;
  • afwijkende child-processes;
  • manipulatie van page-cache gerelateerde bestanden.

Er zijn momenteel beperkt publiek beschikbare Indicators of Compromise (IOCs).

Aanbevolen maatregelen

Direct

  • Patch systemen zodra vendor patches beschikbaar zijn
  • Schakel kwetsbare modules tijdelijk uit
  • Beperk lokale shelltoegang
  • Herzie sudo permissies
  • Controleer containers en shared runners

Korte termijn

  • Activeer EDR op Linux workloads
  • Implementeer audit logging voor privilege escalation
  • Harden container runtimes
  • Controleer kernelversies centraal

Lange termijn

  • Minimaliseer de kernel attack surface
  • Verwijder ongebruikte kernelmodules
  • Gebruik SELinux/AppArmor waar mogelijk
  • Implementeer least privilege principes

Verificatie

Controleer geladen modules

lsmod | egrep 'esp4|esp6|rxrpc'

Controleer kernelversie

uname -r