Er is een proof-of-concept exploit beschikbaar gekomen voor een recent gepatchte lokale privilege-escalatie kwetsbaarheid in de Linux kernel, specifiek in de rxgk-module. Deze kwetsbaarheid, bekend onder de naam DirtyDecrypt of DirtyCBC, stelt aanvallers in staat om root-toegang te verkrijgen op bepaalde Linux-systemen.

De kwetsbaarheid werd begin mei ontdekt en gemeld door het V12 security team, dat later van de kernelonderhouders te horen kreeg dat het om een duplicaat ging van een eerder gepatchte fout in de mainline kernel. Volgens V12 betreft het een rxgk pagecache write door het ontbreken van een copy-on-write (COW) bescherming in de functie rxgk_decrypt_skb. Hoewel er geen officiële CVE-ID aan deze kwetsbaarheid is toegekend, komt de beschrijving overeen met CVE-2026-31635, die op 25 april werd gepatcht.

Om de kwetsbaarheid te kunnen misbruiken, moet de Linux kernel zijn gecompileerd met de CONFIG_RXGK configuratie-optie ingeschakeld hebben, die ondersteuning biedt voor RxGK beveiliging in de Andrew File System (AFS) client en netwerktransport. Dit beperkt het risico tot distributies die dicht bij de nieuwste upstream kernelversies blijven, zoals Fedora, Arch Linux en openSUSE Tumbleweed. De proof-of-concept exploit van V12 is tot nu toe alleen getest op Fedora en de mainline Linux kernel.

DirtyDecrypt valt in dezelfde categorie als recente root-escalatie kwetsbaarheden zoals Dirty Frag, Fragnesia en Copy Fail. Linux-gebruikers met mogelijk kwetsbare distributies wordt geadviseerd om zo snel mogelijk de nieuwste kernelupdates te installeren. Voor systemen die niet direct gepatcht kunnen worden, is een tijdelijke mitigatie beschikbaar die vergelijkbaar is met die voor Dirty Frag. Deze mitigatie schakelt bepaalde kernelmodules uit, maar kan ook IPsec VPNs en AFS netwerkbestandsystemen verstoren:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Deze ontwikkelingen volgen op recente meldingen dat aanvallers de Copy Fail kwetsbaarheid actief misbruiken. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft Copy Fail op 1 mei toegevoegd aan haar lijst van kwetsbaarheden die in aanvallen worden gebruikt en federale instanties opgedragen hun Linux-systemen binnen twee weken te beveiligen. Volgens CISA vormen dit soort kwetsbaarheden een frequente aanvalsvector met aanzienlijke risico’s voor de federale infrastructuur.

In april werden ook patches uitgerold voor een andere lang bestaande root-escalatie kwetsbaarheid in de PackageKit daemon, genaamd Pack2TheRoot, die bijna 12 jaar onopgemerkt was gebleven.