À peine une semaine après la découverte de la vulnérabilité « Copy Fail », l’écosystème Linux est frappé par un nouveau séisme. Baptisée « Dirty Frag », cette vulnérabilité de type Local Privilege Escalation (LPE) permet à n’importe quel utilisateur sans privilèges d’obtenir un accès root complet sur pratiquement toutes les distributions majeures (Ubuntu, Red Hat, Fedora, Debian, etc.).
Le plus inquiétant ? En raison d’un embargo brisé prématurément, aucun correctif officiel n’est encore disponible auprès des éditeurs au moment où nous écrivons ces lignes.
Un bug logique implacable et déterministe
Découverte par le chercheur Hyunwoo Kim (@v4bel), Dirty Frag combine deux bugs d’écriture dans le cache de pages du noyau. Contrairement à beaucoup d’exploits qui reposent sur des « conditions de course » (race conditions) aléatoires et instables, Dirty Frag est déterministe. Son taux de réussite frise les 100 %.
La faille exploite la fonction splice() du noyau, utilisée pour déplacer des données sans copie inutile (zero-copy). En manipulant les composants réseau IPsec (esp4/esp6) ou le protocole de transport RxRPC, l’attaquant peut forcer le noyau à effectuer des opérations cryptographiques directement sur le cache de pages mémoire de fichiers normalement en lecture seule. Résultat : un attaquant peut modifier à la volée des fichiers critiques comme /usr/bin/su ou /etc/passwd directement en mémoire pour s’octroyer les droits d’administration.
« Electric Boogaloo » : le chaos de l’embargo brisé
La gestion de cette faille vire au scénario de film d’action. Alors qu’un embargo de divulgation coordonnée était fixé au 12 mai, un tiers indépendant a procédé à une rétro-ingénierie d’un commit de correction public sur le dépôt netdev du noyau.
Sous le titre provocateur « Copy Fail 2 : Electric Boogaloo », cet acteur a publié un code d’exploitation fonctionnel sur GitHub, forçant Hyunwoo Kim à publier toute sa documentation en urgence le 7 mai. Ce « snipping » de vulnérabilité laisse les administrateurs système sans défense logicielle immédiate.
Microsoft confirme : des attaques déjà « In-The-Wild »
Dans un bulletin d’alerte publié le 8 mai, Microsoft Security confirme observer des attaques limitées mais réelles exploitant déjà ces techniques. Les attaquants utilisent Dirty Frag après une première compromission (via SSH ou un shell web) pour désactiver les outils de sécurité, falsifier les logs et établir une persistance sur le long terme.
Comment se protéger immédiatement ?
En l’absence de mise à jour du noyau, la seule solution consiste à bloquer manuellement le chargement des modules vulnérables. Attention : cela peut interrompre les connexions VPN reposant sur IPsec.
1. Bloquer les modules vulnérables
Exécutez cette commande en tant qu’administrateur pour empêcher le chargement de esp4, esp6 et rxrpc :
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
2. Vider le cache des pages
Même après avoir bloqué les modules, des versions corrompues de fichiers critiques peuvent persister en mémoire cache. Forcez le nettoyage du cache :
echo 3 | sudo tee /proc/sys/vm/drop_caches
Red Hat a déjà publié des avis de mitigation pour OpenShift et invite ses clients à tester ces contournements en environnement hors production de toute urgence.
