Alerta da Mistério de Nuvem: vulnerabilidade crítica de escalada de privilégios em Linux, desativar três módulos como medida de mitigação urgente

O principal responsável de segurança de informação da empresa “Misty” (23pds) divulgou, a 8 de maio, que existem graves vulnerabilidades de escalada de privilégios no sistema Linux, conhecidas como “Dirty Frag”. Estão divulgados os detalhes completos e o código de exploração, permitindo que qualquer utilizador local com poucos privilégios obtenha diretamente privilégios de administrador root no sistema afetado, sem necessidade de condições específicas do sistema. As medidas de mitigação de emergência consistem em desativar os três módulos esp4, esp6 e rxrpc.

Porque é que o Dirty Frag é tão perigoso: falha lógica, elevada taxa de sucesso, sem patch

O Dirty Frag é uma falha lógica determinística, não um ataque instável que dependa de condições de concorrência. Isto faz com que a taxa de sucesso seja extremamente alta e que seja possível reproduzi-la de forma estável. Um atacante só precisa de executar um pequeno programa para obter imediatamente permissões root no sistema-alvo. Todo o processo não causa a queda do núcleo, sendo extremamente difícil de detetar por monitorizações convencionais.

A vulnerabilidade foi submetida em 30 de abril por investigadores de segurança à equipa do núcleo Linux, mas antes de o trabalho de correção estar concluído, um “terceiro alheio” divulgou antecipadamente informações detalhadas e o código de exploração, levando a que a proibição de segurança fosse forçada a ser levantada. A comunidade de segurança considera de forma geral que isto implica que atacantes maliciosos poderão já estar a explorar ativamente esta vulnerabilidade.

Do ponto de vista técnico, o mecanismo do Dirty Frag é semelhante ao da vulnerabilidade Copy Fail, que tem causado danos generalizados na área de servidores Linux. Ambos implementam o ataque ao injetar descritores de cache de páginas em operações de zero-copy. A falha na origem, “xfrm-ESP Page-Cache Write”, foi introduzida numa submissão do núcleo em 2017 com o identificador cac2661c53f3; como a AppArmor da Ubuntu corrigiu essa falha, a ligação do PoC aponta para uma segunda vulnerabilidade, “RxRPC Page-Cache Write” (submissão 2dc334f1a63a), garantindo que o ataque funcione igualmente em sistemas Ubuntu.

Âmbito afetado: lista de distribuições Linux mainstream confirmadas

Distribuições Linux afetadas confirmadas (parte):

· Ubuntu 24 e Ubuntu 26 (inclui AppArmor, contornando através da segunda falha)

· Arch Linux (também confirmado em versões atualizadas)

· RHEL (Red Hat Enterprise Linux)

· OpenSUSE

· CentOS Stream

· Fedora

· AlmaLinux

· CachyOS (núcleo 7.0.3-1-cachyos confirmado como acionador)

· WSL2 (Windows Subsystem for Linux) também confirmado como afetado

Medidas de mitigação de emergência: comandos concretos para desativar três módulos

Antes da publicação oficial de patches, o método de mitigação mais eficaz é desativar os três módulos esp4, esp6 e rxrpc. Estes três módulos estão relacionados com funcionalidades de rede do IPSec. A menos que o servidor em si seja um cliente ou servidor IPSec (ou seja, usado para comunicação de encriptação na camada de rede), desativá-los praticamente não afeta o funcionamento normal dos serviços.

Para desativar os módulos, execute os seguintes comandos: sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”

Após concluir, acompanhe de perto os anúncios de segurança de cada distribuição Linux e, depois de o patch oficial ser publicado, aplique imediatamente as atualizações do sistema.

Perguntas frequentes

Existe atualmente um patch oficial para a vulnerabilidade Dirty Frag?

Até ao momento, não foi publicado qualquer patch oficial, e também não se observou no núcleo principal Linux qualquer submissão de correção. Isto acontece porque a proibição de segurança foi quebrada antecipadamente, antes de os patches estarem prontos, levando a que os detalhes da vulnerabilidade fossem divulgados sem que o trabalho de correção estivesse concluído. Os administradores de sistemas devem acompanhar de perto os anúncios de segurança das distribuições Linux e aplicar imediatamente as atualizações assim que o patch for publicado.

Desativar os módulos esp4, esp6 e rxrpc afeta o funcionamento normal do servidor?

Estes três módulos estão principalmente relacionados com protocolos IPSec. A menos que o servidor em si seja um cliente ou servidor IPSec (ou seja, usado para comunicação de encriptação na camada de rede), desativá-los quase não afeta serviços Web, bases de dados, nós de encriptação e outras tarefas comuns. Esta é, neste momento, a mitigação de emergência mais segura e com menor impacto.

Porque é que esta vulnerabilidade foi divulgada sem patches?

Na indústria, é prática comum a “divulgação responsável”: após os investigadores de segurança submeterem uma vulnerabilidade aos fabricantes, normalmente aguardam pela conclusão do patch antes de divulgar os detalhes. A vulnerabilidade foi submetida a 30 de abril, mas um “terceiro alheio” divulgou antecipadamente informações detalhadas, quebrando a proibição. Os investigadores de segurança especulam que atacantes maliciosos poderão já ter explorado ativamente esta vulnerabilidade, e este terá sido o motivo que acabou por desencadear a anulação da proibição.