Een recent bekendgemaakte lokale privilege-escalatie kwetsbaarheid die grote Linux-distributies treft, wordt mogelijk al actief misbruikt. De exploit, genaamd Dirty Frag en Copy Fail 2, combineert twee fouten die zijn geregistreerd als CVE-2026-43284 en CVE-2026-43500, waardoor een gebruiker zonder verhoogde rechten toegang tot root kan verkrijgen. Onderzoeker Hyunwoo Kim heeft de kwetsbaarheid verantwoord gemeld, maar de technische details en proof-of-concept code werden openbaar gemaakt voordat patches beschikbaar waren, waarna Kim deze zelf ook publiekelijk beschikbaar stelde via GitHub.

Kim licht toe dat het hier gaat om een deterministische logische fout die niet afhankelijk is van een timing-venster, waardoor geen race condition nodig is, de kernel niet crasht bij mislukking en de slaagkans zeer hoog is. De kwetsbaarheden bevinden zich in de xfrm-ESP (IPsec) en RxRPC componenten van de Linux-kernel, met de grootste impact op systemen die geen container workloads draaien. Bij containeromgevingen kan een aanvaller mogelijk Dirty Frag gebruiken om uit een container te ontsnappen, al is dit nog niet aangetoond, aldus ontwikkelaars van Ubuntu.

Dirty Frag vertoont overeenkomsten met de in 2022 ontdekte Dirty Pipe kwetsbaarheid en de recent ontdekte Copy Fail fout. Copy Fail wordt al actief misbruikt, en Microsoft meldt dat ook Dirty Frag mogelijk al in het wild wordt ingezet. Volgens Microsoft kan Dirty Frag worden misbruikt nadat aanvallers toegang tot het doelwit hebben verkregen, bijvoorbeeld via gecompromitteerde SSH-accounts, webshells via internet-blootgestelde applicaties, misbruik van service-accounts, container escapes naar de hostomgeving of compromittering van remote toegang. Microsofts Defender-product heeft beperkte activiteit waargenomen die kan wijzen op misbruik van Dirty Frag of Copy Fail. Hierbij worden onder meer authenticatiebestanden aangepast, systeemconfiguraties onderzocht en sessiebestanden van PHP gemanipuleerd, wat duidt op verstoring en uitlezing van actieve sessies, aldus Microsoft in hun analyse.

Verschillende Linux-distributies zijn inmiddels gestart met het uitrollen van patches en mitigaties voor Dirty Frag, waaronder Red Hat, Amazon Linux, Ubuntu, Fedora en Alma Linux.