“Dirty Frag”：一种新的 Linux 提权漏洞已在野外出现

安全研究人员披露了 Linux 内核中一个尚未修复的新漏洞，代号为 “Dirty Frag”。该漏洞可让无特权的本地用户在大多数主流 Linux 发行版上获取完全的 root 权限，这些发行版包括 Ubuntu、红帽企业 Linux（RHEL）、Fedora、AlmaLinux 和 CentOS Stream。

“Dirty Frag” 与 “Dirty Pipe” 系列漏洞相关，但独立于 “复制失败”（Copy Fail）缓解措施，这意味着已应用 algif_aead 黑名单的系统仍完全暴露在风险中。

相关公告称：“（该漏洞）通过串联 xfrm - ESP 页面缓存写入漏洞和 RxRPC 页面缓存写入漏洞，可在主流 Linux 发行版上获取 root 权限。‘Dirty Frag’扩展了‘Dirty Pipe’和‘复制失败’所属的漏洞类别。由于这是一个确定性逻辑漏洞，不依赖时间窗口，无需竞争条件，漏洞利用失败时内核也不会崩溃，成功率非常高。”

研究人员玄宇・金（Hyunwoo Kim，推特账号 @v4bel）最先披露了该漏洞。

该漏洞串联了两个不同的缺陷。第一个是 xfrm - ESP 页面缓存写入漏洞，源于 Linux IPsec 子系统，在 2017 年 1 月的一次源代码提交中引入，同一提交还导致了 CVE - 2022 - 27666 漏洞，这是一个影响多个 Linux 发行版的缓冲区溢出漏洞。第二个是 RxRPC 页面缓存写入漏洞，于 2023 年 6 月引入。单独来看，这两个缺陷并非在所有系统上都能起作用，但它们相互弥补了彼此的盲点：当某条路径因环境因素（如 Ubuntu 的 AppArmor 对命名空间创建的限制）被阻断时，另一条路径则会打开。这种串联使得 “Dirty Frag” 在各种发行版上都具有普遍危险性。

分析报告指出：“这两个漏洞的共同之处在于，在零拷贝发送路径中，splice () 函数将攻击者仅有读权限的页面缓存页的引用，按原样植入发送方套接字缓冲区（skb）的片段槽中，接收方内核代码会在该片段上进行就地加密。结果，无特权用户仅有读权限的文件的页面缓存在内存中被修改，后续每次读取都会看到修改后的副本。”

“Dirty Frag” 尤其危险之处在于其可靠性。与许多依赖精确时间窗口或竞争条件的内核漏洞利用不同，这是一个确定性逻辑漏洞。漏洞利用失败时不会导致内核崩溃，且成功率极高。一个可用的概念验证代码已公开，将利用过程简化为一条命令。

该漏洞的披露过程较为复杂：在第三方未经协调就发布详细技术信息和漏洞利用代码后，禁令提前解除。目前该漏洞尚未分配 CVE 编号。

报告总结称：“将这两个变体串联起来，盲点相互覆盖。在允许创建用户命名空间的环境中，ESP 漏洞利用首先运行。相反，在 Ubuntu 系统中，虽然用户命名空间创建被阻止，但 rxrpc.ko 模块已构建，RxRPC 漏洞利用就能起作用。”

在官方补丁发布之前，建议的解决方法是将 esp4、esp6 和 rxrpc 内核模块列入黑名单，阻止它们加载。