Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- Com uma conta comprometida, Soiled Frag pode expor seu sistema.
- Nenhum patch pode protegê-lo ainda de todos os ataques possíveis.
- Para se manter seguro, você precisará bloquear vários serviços, incluindo VPNs.
O Linux está passando por algumas semanas difíceis. Primeiro, a falha de segurança do Copy Fail foi descoberta por pesquisadores de IA. Nesse caso, os patches foram feitos e distribuídos rapidamente. Não tivemos tanta sorte com a falha recentemente divulgada no kernel do Linux, apelidada Fragmento Sujoque também foi descoberto com a ajuda da IA, mas os patches ainda estão em andamento.
Além disso: o Linux está recebendo um alerta de segurança – por que period inevitável e não estou preocupado
O pesquisador de segurança Hyunwoo Kim, que divulgou o problema em 7 de maio, descreve Soiled Frag como uma extensão da mesma classe de bug das falhas anteriores de alto perfil do kernel Linux, Tubo Sujo de 2022 e cópia falha. Assim como essas falhas, o Soiled Frag explora caminhos de código do kernel que gravam em páginas de memória acessíveis ao espaço do usuário sem privilégios, mas tem como alvo uma estrutura diferente: o campo fragmento dos buffers de rede sk_buff.
Também: Immutable Linux oferece segurança séria – aqui estão suas 5 melhores opções
Kim contou aos mantenedores do kernel Linux sobre a vulnerabilidade no closing de abril. Infelizmente, os processos coordenados de divulgação e correção rapidamente saiu dos trilhos. Em 7 de maio, enquanto as distribuições ainda enviavam correções para a falha relacionada ao Copy Fail, informações técnicas detalhadas do Soiled Frag e uma exploração de prova de conceito funcional para o componente xfrm-ESP apareceu on-line depois de um quebra de embargo por um terceiro não relacionado. Agora, estamos todos em apuros.
O que é Frag Sujo?
Soiled Frag é uma cadeia de vulnerabilidade de escalonamento de privilégios native que explora bugs lógicos nas pilhas de rede e autenticação do Linux para corromper dados no cache de páginas do kernel, permitindo que uma conta sem privilégios seja escalonada para root.
Ele funciona visando dois subsistemas de rede separados: o Caminho de carga útil de segurança encapsulada IPsec, ou xfrm-ESPrastreado como CVE-2026-43284e o Caminho de autenticação RxRPCrastreado como CVE-2026-43500.
Ao encadear essas falhas, os invasores podem modificar o que deveriam ser arquivos de sistema somente leitura e armazenados em cache de página na memória e, em seguida, acioná-los para serem executados com privilégios elevados, sem nunca tocar em seu sistema de arquivos.
Além disso: esta vulnerabilidade crítica do Linux está colocando milhões de sistemas em risco – como proteger o seu
Uma vez lá dentro, o Soiled Frag explora “primitivas de gravação de cache de página” em caminhos rápidos do kernel usados para redes criptografadas e autenticação de sistema de arquivos remoto. Ao escolher cuidadosamente o alvo, um invasor pode sobrescrever partes de arquivos ostensivamente somente leitura na memória, como executáveis ou arquivos de configuração, e então executar ou recarregar os arquivos modificados como root.
A partir daí, o céu é o limite e os invasores podem fazer praticamente o que quiserem.
A boa notícia – sim, há alguma – é que os invasores normalmente precisam de uma base existente, como um shell sem privilégios through SSH, um internet shell ou um contêiner comprometido, para usar o Soiled Frag para escalar.
Por outro lado, porque o o bug subjacente é um erro lógico em vez de uma corrida sensível ao tempoa exploração é extraordinariamente confiável e não causa pânico no kernel quando falha. Em outras palavras, alguém pode atacar seu sistema Linux repetidamente até invadir, e você nunca saberá disso.
Os defensores se esforçaram para avaliar a exposição
Não demorou muito para que os invasores percebessem. O código de exploração pública foi rapidamente espelhado em blogs de segurança, repositórios GitHub e fóruns de discussão, deixando os defensores lutando para avaliar a exposição.
Além disso: Preocupado com a violação nacional de dados do Canvas? Siga estas 6 etapas agora
De acordo com Equipe de inteligência de ameaças da MicrosoftSoiled Frag já foi observado em ação. Os hackers estão usando-o para atualizar pontos de apoio limitados em sistemas Linux para controle complete de root em servidores, cargas de trabalho em nuvem e contêineres.
Então, quem está em risco?
Lamento dizer que praticamente todo mundo usa qualquer distribuição Linux. Soiled Frag afeta uma ampla variedade de ambientes Linux, desde servidores bare-metal e distribuições corporativas até hosts de contêineres e instâncias de nuvem. Isso inclui versões atuais e anteriores do Ubuntu, Pink Hat Enterprise Linux, CentOS Stream, AlmaLinux, Fedora e openSUSE Tumbleweed, entre outros.
A Canonical, controladora do Ubuntu, alerta: “Em implantações de contêineres que podem executar cargas de trabalho arbitrárias de terceirosa vulnerabilidade também pode facilitar cenários de fuga de contêineres, além do escalonamento de privilégios locais no host.” Esse é o maior pesadelo da computação nativa da nuvem.
Felizmente, “ainda não foi publicada uma exploração de prova de conceito para escape de contêiner”.
Até aqui. Até onde sabemos. Esperamos.
Além disso: Melhores serviços VPN: testados e recomendados por especialistas
Enquanto muitos de vocês comemoravam o Dia das Mães, a comunidade do kernel Linux passou o fim de semana resolvendo o problema. CVE-2026-43284, o componente xfrm-ESP, recebeu uma correção upstream no kernel principal em 8 de maio, menos de 24 horas após a divulgação pública, embora essa correção agora exact ser portada através das muitas árvores estáveis suportadas.
A falha RxRPC, rastreada como CVE-2026-43500, permanece em avaliação. No momento em que este artigo foi escrito, nenhum patch upstream havia sido finalizado. Os fornecedores de Linux estão emitindo seus próprios avisos e atualizações à medida que integram as mudanças upstream.
O que você deve fazer imediatamente
Distribuidores Linux, provedores de nuvem e provedores de hospedagem estão incentivando os clientes a atualizarem para os pacotes de kernel mais recentes assim que estiverem disponíveis. Eles também estão pedindo aos administradores que coloquem na lista negra os módulos esp4, esp6 e rxrpc como um paliativo. Tenha em mente, entretanto, que se você fizer isso, provavelmente interromperá VPNs IPsec ou cargas de trabalho baseadas em AFS. Por outro lado, você estará mais seguro assim.
Além disso: Por que o Edge armazena suas senhas em texto simples, de acordo com a Microsoft
Distribuições Linux relacionadas ao Debian e Ubuntu
Canonical sugere as seguintes etapas. Eles funcionarão no Ubuntu e em distribuições Linux relacionadas, como o Mint.
Passo 1. Bloqueie os módulos
- Bloqueie os módulos criando um arquivo /and so on/modprobe.d/dirty-frag.conf:
- echo “instalar esp4 /bin/false” | sudo tee /and so on/modprobe.d/dirty-frag.conf
- echo “instalar esp6 /bin/false” | sudo tee -a /and so on/modprobe.d/dirty-frag.conf
- echo “instalar rxrpc /bin/false” | sudo tee -a /and so on/modprobe.d/dirty-frag.conf
- Gere novamente as imagens initramfs para evitar que os módulos sejam carregados durante a inicialização inicial:
- sudo update-initramfs -u -k tudo
Passo 2. Descarregar módulos
- Descarregue os módulos, caso já estejam carregados:
- sudo rmmod esp4 esp6 rxrpc 2>/dev/null
Etapa 3. Confirme se os módulos não estão carregados
- Verifique se os módulos ainda estão carregados:
- grep -qE ‘^(esp4|esp6|rxrpc) ‘ /proc/modules && echo “Módulos afetados são carregados” || echo “Módulos afetados NÃO são carregados”
- Se a ação anterior indicar que os módulos não estão carregados, nenhuma ação adicional será necessária. No entanto, descarregar os módulos pode não ser possível se os aplicativos já os estiverem utilizando. Nestes casos, uma reinicialização do sistema imporá o seu bloqueio, mas afetará os aplicativos:
- sudo reiniciar
- Assim que as atualizações do kernel estiverem disponíveis e instaladas, a mitigação poderá ser removida:
- sudo rm /and so on/modprobe.d/dirty-frag.conf
- sudo update-initramfs -u -k tudo
Além disso: O melhor software program antivírus móvel: testado e revisado por especialistas
Pink Hat e distribuições Linux relacionadas
A Pink Hat sugere que você execute:
- printf ‘instalar esp4 /bin/falseninstalar esp6 /bin/falseninstall rxrpc /bin/falsen’ > /and so on/modprobe.d/dirtyfrag.conf rmmod esp4 esp6 rxrpc 2>/dev/null; verdadeiro
Esta abordagem, que exigirá a desativação de programas baseados em IPsec e AFS, também funcionará em CentOS, Rocky Linux, AlmaLinux e outras distros Linux relacionadas ao RHEL.
Também: Eu uso o Home windows há décadas, mas experimentei o Linux para ver se é realmente ‘fácil’ agora – e uma coisa me surpreendeu
Correções do SUSE Linux
SUSE tem uma solução semelhante com o mesmo aviso sobre IPsec e AFS.
Criar:
/and so on/modprobe.d/10-copyfail2-fix.conf para remediar com as seguintes linhas:
- lista negra esp4
- lista negra esp6
- lista negra rxrpc
- instale esp4 /bin/falso
- instale esp6 /bin/falso
- instale rxrpc /bin/falso
Os detalhes variam de distribuição para distribuição, mas a correção temporária é sempre a mesma: use um arquivo de configuração modprobe para desabilitar os programas potencialmente afetados até que os patches do kernel estejam disponíveis e instalados.
Feito isso, você pode excluir as correções de emergência e voltar ao trabalho normalmente.
Além disso: Google aposta US$ 32 bilhões na força cibernética de agentes de IA à medida que a corrida armamentista de segurança aumenta
Até que as correções completas do kernel sejam amplamente implementadas e os sistemas sejam reinicializados, você deve mitigar seu sistema o mais rápido possível. Afinal, se você tiver pelo menos uma conta de usuário comprometida, um invasor pode usar o Soiled Frag para assumir o controle complete da sua infraestrutura.
Agora, se me dá licença, tenho vários servidores e estações de trabalho para consertar.
