曾提出知名「DirtyCred」與「DirtyPagetable」等漏洞利用技術的頂尖資安研究員 V4bel,日前公開揭露了一個全新的 Linux 核心(Kernel)本地權限提升(Local Privilege Escalation, LPE)漏洞,並將其命名為「DirtyFrag」。
此消息一出,立刻在各大開源郵件列表與技術論壇引發討論,CyberQ 觀察,Openwall 旗下的 OSS-Security 郵件列表是開源軟體界(尤其是 Linux)協調零時差漏洞與發布官方安全通報的核心樞紐。這封於 5 月 7 日發布的郵件紀錄了 DirtyFrag 漏洞的正式公開通報(Public Disclosure),內含了受影響的 Kernel 版本區間,以及各大 Linux 發行版維護者的第一時間回應。若要追蹤官方 CVE 狀態與初步緩解措施,可以觀察和參考。
LWN.net 發布的專文(Article 1071719)深入探討了 DirtyFrag 漏洞的底層架構議題。報導中不僅分析了漏洞修補(Patch)的技術難點,更紀錄了核心開發社群對於如何從根本上重構相關碎片化(Fragmentation)處理機制的技術辯論。
攻擊手法與利用細節:V4bel 的原始技術報告
這是由漏洞發現者 V4bel 親自撰寫並發布於個人 GitHub 的技術白皮書(Write-up)。該報告詳細還原了攻擊者如何利用核心機制的缺陷,繞過現代核心的安全防護(如 KASLR、SMEP/SMAP 等),最終達成穩定提權的概念驗證(PoC)。對於需要開發入侵偵測規則(IDS/IPS)或驗證自家系統防禦力的紅/藍軍團隊來說,也是第一手參考資料。
什麼是「DirtyFrag」?
從 V4bel 釋出的報告與漏洞命名來看,「DirtyFrag」延續了過去「Dirty」家族(如 Dirty COW, Dirty Pipe, DirtyCred)的高危險提權特性。名稱中的 Frag 直指該漏洞的核心成因與核心處理碎片化(Fragmentation)機制時的邏輯缺陷有關。
在 Linux 核心中,這通常涉及以下情境:
網路封包分片重組(IP/SKB Fragmentation),系統在處理大量零碎的網路封包(如 sk_buff)時,發生了邊界檢查不嚴謹或條件競爭(Race Condition)。
核心記憶體碎片管理(Memory Slab Fragmentation),記憶體配置器在處理頁面或記憶體池碎片時的生命週期管理錯誤。
攻擊者可藉由構造極端的碎片資料,在核心空間引發記憶體損毀(如釋放後使用 Use-After-Free 或越界寫入 Out-of-Bounds Write),進而巧妙地污染(Dirty)關鍵的系統憑證結構(Credentials),讓一般低權限的使用者瞬間躍升為擁有系統最高控制權的 root。
從影響版本來看,研究員指出 xfrm-ESP Page-Cache Write 的影響範圍可追溯到 2017 年 1 月 17 日的相關提交,而 RxRPC Page-Cache Write 則可追溯到 2023 年 6 月。研究員測試過的發行版包含 Ubuntu 24.04.4、RHEL 10.1、openSUSE Tumbleweed、CentOS Stream 10、AlmaLinux 10 與 Fedora 44 等版本。這裡要注意的是,實際風險仍會受核心版本、模組是否存在、是否允許 unprivileged user namespace、是否啟用相關工作負載等條件影響。
此次事件最敏感的地方,是揭露流程本身。根據研究員公開的時間線,RxRPC 問題在 2026 年 4 月 29 日通報,ESP 問題在 4 月 30 日通報,同日也有 patch 被送上 netdev 郵件列表。到了 5 月 7 日,ESP 相關修補已合併到 netdev tree,但研究員表示有第三方公開了漏洞細節與 exploit,導致原本設定的 embargo 被打破,於是經 linux-distros 維護者討論後選擇公開 Dirty Frag 文件。
LWN 也將此事件定調為一個 zero-day universal Linux LPE,並指出研究員原本嘗試協調至 5 月 12 日再揭露,但因 embargo 提前破裂,攻擊程式碼與移除受影響模組的緩解方式都已公開。LWN 社群留言也反映出開源安全揭露的兩難。一方面公開資訊讓系統管理員可以立刻採取緩解措施,另一方面,在沒有完整發行版修補前公開攻擊細節,也會讓實際利用門檻大幅下降。
企業與系統管理員該如何應對?
DirtyFrag 屬於本地提權漏洞(LPE),意味著攻擊者必須先取得系統的低權限存取權(例如:攻破某個 Web 應用程式取得 Shell,或擁有一般 SSH 帳號)才能發動攻擊。即便如此,在雲端原生(Cloud-Native)與多租戶容器環境中,這類漏洞極易被用作「容器逃逸(Container Escape)」的跳板,威脅性不容小覷。
隨著 PoC 的思路公開,CyberQ 建議企業採取以下應對措施:
在你管理的系統正式更新核心前,其中一個臨時緩解方法是停用 esp4、esp6 與 rxrpc 三個模組,避免相關攻擊面被自動載入。這項方式適合不使用 IPsec ESP 或 AFS/RxRPC 的一般伺服器,但不適合 VPN 閘道、IPsec tunnel 端點或依賴 AFS 的環境。
可採用的臨時緩解指令如下:
sudo sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”
若後續已安裝修補版核心並完成重開機,可移除該設定檔恢復原本模組載入行為:
sudo rm /etc/modprobe.d/dirtyfrag.conf
AlmaLinux 與 CloudLinux 也提醒,Dirty Frag 的攻擊流程可能會污染敏感檔案的 page cache,例如 /etc/passwd 或 /usr/bin/su。因此,如果懷疑系統在套用緩解前已被觸發過,單純停用模組可能還不夠,應考慮清除 page cache,讓後續讀取回到磁碟上的乾淨版本。
sudo sh -c ‘echo 3 > /proc/sys/vm/drop_caches’
密切追蹤官方更新
盤點現有的伺服器 Kernel 版本,緊盯 Ubuntu、Debian、RHEL 等官方發布的安全公告。一旦釋出針對 DirtyFrag 的修補程式(Patch),請盡速安排停機維護視窗進行升級並重啟伺服器。
縮小潛在攻擊面
根據近期許多 LPE 漏洞的特性,多數攻擊依賴非特權使用者命名空間(Unprivileged User Namespaces)來建構攻擊環境。若系統業務允許,可評估透過執行 sysctl -w kernel.unprivileged_userns_clone=0 將其暫時關閉作為權宜之計。
強化端點行為監控
部署如 Tetragon (Cilium) 等基於 eBPF (Extended Berkeley Packet Filter) 的資安監控工具,針對未經授權的提權行為或異常的進程生成即時發出警示。
CyberQ 觀點,緩解只是暫時,重點是盤點和進行各發行版更新
Reddit 的 Linux 與 sysadmin 討論串都已提醒,停用 esp4、esp6、rxrpc 會影響 IPsec 與 RxRPC,其中 RxRPC 主要與 AFS 分散式檔案系統相關。第二是 CVE 尚未分配,社群使用者也在追問何時會有正式 CVE 編號。第三是公開揭露的倫理爭議,Hacker News 與 LWN 留言都出現對 embargo 破裂、公開 PoC、AI 輔助漏洞研究是否改變揭露節奏等討論。
對企業與系統管理員而言,這次事件的重點不是「所有 Linux 伺服器都已被遠端攻陷」,而是「只要攻擊者已有本機執行權限,權限邊界就可能失效」。因此,最需要優先處理的是共用 shell 主機、代管主機、開發跳板機、CI/CD runner、容器建置節點、學生或研究環境、HPC 登入節點、企業內部多人共用的 Linux 主機,以及任何允許低權限帳號執行任意程式的系統。
CyberQ 建議,第一步應先盤點哪些 Linux 主機允許非管理員使用者登入或執行任意程式。第二步確認是否使用 IPsec、strongSwan、Libreswan、AFS 或 RxRPC 相關工作負載,如果沒有,臨時停用 esp4、esp6、rxrpc 通常是可接受的快速降風險措施。第三步則是持續追蹤發行版官方公告,等待正式修補核心進入穩定套件庫後盡快更新並重開機。對 AlmaLinux 用戶而言,目前已有 testing repository 修補版可測,對 CloudLinux 用戶而言,官方表示修補核心與 KernelCare livepatch 正在準備中。
CyberQ 認為,在當前的環境下,即使是發展成熟的作業系統核心模組,在複雜的記憶體管理與高併發處理下,仍可能潛藏著一些安全盲點。我們將持續追蹤此漏洞的最新 CVE 編號與修補狀況,IT 管理上仍須隨時保持警覺,落實系統的深度防禦。
