Een nieuwe Linux-zero-day kwetsbaarheid, genaamd Dirty Frag, maakt het mogelijk voor lokale aanvallers om met een enkel commando rootrechten te verkrijgen op vrijwel alle grote Linux-distributies. Onderzoeker Hyunwoo Kim maakte de kwetsbaarheid vandaag bekend en publiceerde een proof-of-concept exploit. De fout werd ongeveer negen jaar geleden geïntroduceerd in de algif_aead cryptografische interface van de Linux-kernel.

Dirty Frag werkt door twee afzonderlijke kernelkwetsbaarheden te combineren, namelijk de xfrm-ESP Page-Cache Write en de RxRPC Page-Cache Write kwetsbaarheden. Hiermee kunnen beschermde systeembestanden in het geheugen zonder toestemming worden aangepast, wat leidt tot privilege-escalatie. Hoewel Dirty Frag tot dezelfde categorie behoort als de eerder ontdekte Dirty Pipe en Copy Fail kwetsbaarheden, maakt deze gebruik van het fragmentveld van een andere kernel datastructuur. De kwetsbaarheid heeft nog geen CVE-ID gekregen en treft een breed scala aan Linux-distributies zoals Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed en Fedora, die nog geen patches hebben ontvangen.

Volgens Kim, die de volledige documentatie en PoC exploit met instemming van de distributiebeheerders publiceerde, is Dirty Frag een deterministische logische fout die geen race condition vereist en een zeer hoge succesratio heeft. De kernel crasht niet bij mislukking van de exploit. De openbaarmaking volgde nadat een derde partij de embargo op de volledige publicatie op 7 mei 2026 doorbrak.

Linux-gebruikers kunnen hun systemen beschermen door de kwetsbare modules uit te schakelen met het volgende commando: sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true". Deze zero-day komt terwijl distributiebeheerders nog bezig zijn met het uitrollen van patches voor de eerder ontdekte Copy Fail kwetsbaarheid, die inmiddels actief wordt misbruikt. De Amerikaanse CISA voegde Copy Fail onlangs toe aan haar Known Exploited Vulnerabilities Catalog en gaf federale instanties opdracht hun Linux-systemen binnen twee weken te beveiligen.