Linuxの新しい “Dirty Frag “ゼロデイがすべての主要ディストロでrootを許す

Dirty Fragと名付けられた新しいLinuxのゼロデイ攻撃は、ローカル攻撃者が1つのコマンドでほとんどの主要Linuxディストリビューション上でroot権限を得ることを可能にする。

セキュリティ研究者のHyunwoo Kim氏は、本日未明にこの脆弱性を公表し、概念実証（PoC）エクスプロイトを公開した。同氏によると、このローカル特権の昇格は、およそ9年前にLinuxカーネルのalgif_aead暗号アルゴリズム・インターフェースに導入されたものだという。

Dirty Fragは、xfrm-ESPのPage-Cache Writeの脆弱性とRxRPCのPage-Cache Writeの脆弱性という2つの独立したカーネルの欠陥を連鎖させることで、メモリ上の保護されたシステム・ファイルを無許可で変更し、特権の昇格を実現します。

また、Dirty Fragは、LinuxのDirty Pipeや Copy Fail脆弱性と同じクラスに属するが、異なるカーネル・データ構造のfragmentフィールドを悪用する。

「前回のCopy Fail脆弱性と同様、Dirty Fragも同様に、すべての主要ディストリビューションで即座にroot権限を昇格させることが可能であり、2つの別々の脆弱性を連鎖させている。

「Dirty Fragは、Dirty PipeとCopy Failが属するバグクラスを拡張したケースです。Dirty Fragは、Dirty PipeやCopy Failが属するバグクラスを拡張したケースであり、タイミングウィンドウに依存しない決定論的なロジックバグであるため、レースコンディションは必要なく、エクスプロイトが失敗してもカーネルはパニックに陥らず、成功率は非常に高い。”

このカーネル特権の昇格は、Ubuntu、Red Hat Enterprise Linux、CentOS Stream、AlmaLinux、openSUSE Tumbleweed、Fedora など、まだパッチを受け取っていない幅広い Linux ディストリビューションに影響を与える。

Dirty Frag demo — *Dirty Fragのデモ(Hyunwoo Kim)*

Kim氏は、2026年5月7日に完全公開の禁輸措置が破られ、無関係の第三者が独自にエクスプロイトを公開した後、ディストリビューションメンテナの同意を得て、Dirty Fragの完全なドキュメントとPoCエクスプロイトを公開しました。

“現在、禁輸措置は解除されているため、パッチやCVEは存在しません。linux-distros@vs.openwall.org のメンテナと協議した結果、彼らの要請により、この Dirty Frag 文書を公開します」と Kim 氏は述べた。

攻撃からシステムを守るために、Linuxユーザーは以下のコマンドを使って、脆弱性のあるesp4、esp6、rxrpcカーネルモジュールを削除することができる（ただし、IPsec VPNとAFS分散ネットワークファイルシステムが壊れることに注意）：

sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"".

この新たなゼロデイ公開は、Linuxディストロのメンテナが、現在攻撃で活発に悪用されているもう一つのルート権限昇格の脆弱性「Copy Fail」に対するパッチをまだ展開している最中に行われた。

CISAは先週金曜日、「Copy Fail」を「Known Exploited Vulnerabilities (KEV)」カタログに追加し、連邦政府機関に対し、2週間以内（5月15日まで）にLinuxデバイスのセキュリティを確保するよう命じた。

「この種の脆弱性は、悪意のあるサイバーアクターが頻繁に攻撃するベクトルであり、連邦政府企業に重大なリスクをもたらす」と、米国のサイバーセキュリティ機関は当時警告した。「ベンダーの指示に従って緩和策を適用するか、クラウドサービスに適用される BOD 22-01 ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。

4月、Linuxディストロは、PackageKitデーモンに導入されてから10年ぶりに発見された別のroot権限昇格の脆弱性（Pack2TheRootと呼ばれている）にパッチを適用した。

更新 5月08日09時58分(EDT): Dirty Fragによって連鎖された2つのページキャッシュ書き込みの脆弱性は、現在以下のCVE IDで追跡されています: xfrm-ESPにはCVE-2026-43284が、RxRPCには CVE-2026-43500が割り当てられています。

ソース: https://www.bleepingcomputer.com/news/security/new-linux-dirty-frag-zero-day-with-poc-exploit-gives-root-privileges/

Comments