CVE-2026-43284 Dirty Frag : LPE root noyau Linux (PoC public)

Les faits

Le 7 mai 2026, la chaîne de vulnérabilités baptisée « Dirty Frag » a été divulguée publiquement après que l'embargo coordonné a été rompu par un tiers non lié aux chercheurs initiaux. La chaîne regroupe deux failles distinctes du noyau Linux référencées CVE-2026-43284 (sous-système xfrm-ESP, IPsec) et CVE-2026-43500 (sous-système RxRPC, utilisé par le système de fichiers distribué AFS). Combinées, elles permettent à un utilisateur local non privilégié d'obtenir un shell root sans aucune interaction utilisateur ni privilège préalable, sur la quasi-totalité des distributions Linux modernes. Le score CVSS publié par le NVD et confirmé par Tenable atteint 8.8 pour la chaîne complète, vecteur AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

La nature même du bug a alarmé immédiatement la communauté de sécurité noyau. Les deux failles se situent dans le chemin de déchiffrement « in-place » des sous-systèmes esp4, esp6 et rxrpc. Quand le chemin de réception déchiffre un trafic stocké dans des pages mémoire qui ne sont pas la propriété exclusive du noyau — typiquement des pages de pipe ayant atteint le socket via les appels splice(2) ou sendfile(2) —, les processus non privilégiés conservent des références vers le texte clair résultant. Cette propriété fournit aux attaquants une primitive d'écriture directe dans le page cache du noyau, qui est ensuite transformée par le PoC public en escalade root en une seule commande. La logique d'exploitation rappelle Dirty Pipe (CVE-2022-0847) et Dirty COW (CVE-2016-5195), d'où le nom retenu.

Le PoC publié sur GitHub est court, fiable et auto-contenu. Il ne nécessite aucune option de compilation particulière, aucun bruit de fond réseau et fonctionne sur des noyaux récents allant de 5.10 à 6.13. Microsoft Security Response Center a publié dès le 8 mai 2026 un billet confirmant l'observation d'attaques actives post-compromission utilisant Dirty Frag pour transformer un accès initial limité (compte web, conteneur, accès SSH non privilégié) en contrôle complet de l'hôte sous-jacent. Le billet Microsoft décrit cette vulnérabilité comme un « game-changer » dans la phase post-exploit Linux, comparable à la portée de Dirty COW à son époque.

Le périmètre exact des distributions affectées a été précisé par les éditeurs au fil des 24 premières heures. Ubuntu a confirmé que les noyaux 6.8 et 6.11 LTS sont vulnérables tant que les modules sont chargés ; Canonical a publié un advisory recommandant la mise à jour vers les paquets linux-image-6.8.0-58-generic et linux-image-6.11.0-29-generic. Red Hat a référencé les CVE dans sa base d'avis avec un statut « Important » pour RHEL 8, 9 et 10, et a indiqué que les correctifs seraient livrés via les flux RHSA standards. SUSE a publié son propre advisory pour SLES 15 SP5 et SP6. Amazon Linux 2 et Amazon Linux 2023 sont également confirmés vulnérables d'après le centre de sécurité Amazon.

Sur le plan technique, la première primitive (CVE-2026-43284 dans esp_input_done2()) provient d'une mauvaise gestion de la durée de vie des fragments de skb (socket buffer) après le déchiffrement IPsec. Quand la pile réseau reçoit un paquet ESP dont la charge utile occupe plusieurs fragments de pages mémoire issues du page cache, le pointeur vers le buffer déchiffré reste accessible aux processus utilisateurs ayant initié l'opération splice/sendfile. La seconde primitive (CVE-2026-43500 dans rxrpc_recvmsg_data()) exploite une fenêtre de course équivalente lors de la réception de blocs chiffrés AFS, où le chiffrement Kerberos est effectué directement dans des pages partagées avec l'espace utilisateur.

La chaîne d'exploitation publiée enchaîne ces deux primitives pour réécrire le binaire /usr/bin/sudo ou /bin/su directement dans le page cache, sans toucher au disque. À la prochaine invocation par n'importe quel utilisateur, le shell root est obtenu. Cette technique contourne intégralement les protections SELinux et AppArmor en mode enforce car aucune transition de contexte n'est requise : le binaire setuid d'origine est exécuté avec son propre contexte de sécurité, simplement avec un code modifié en mémoire vive.

D'après NVD/NIST et l'analyse Wiz, la chaîne reste exploitable même lorsque les sysctls kernel.unprivileged_userns_clone=0 et user.max_user_namespaces=0 sont positionnés, contrairement à de nombreuses LPE Linux récentes qui s'appuient sur les user namespaces. Cette propriété rend Dirty Frag particulièrement dangereuse dans les environnements durcis et les conteneurs où l'accès root sur l'hôte était considéré comme structurellement bloqué. Sysdig a publié des règles Falco de détection comportementale capables d'identifier les patterns d'exploitation par observation des écritures inhabituelles dans le page cache de binaires setuid.

Le Centre canadien pour la cybersécurité a publié l'advisory AL26-011 dès le 8 mai pour alerter les opérateurs d'infrastructures critiques, et la NCSC britannique a relayé l'alerte dans la foulée. Côté français, le bulletin d'actualité CERTFR-2026-ACT-021 du 11 mai 2026 mentionne explicitement Dirty Frag parmi les vulnérabilités significatives de la semaine et recommande l'application immédiate des correctifs disponibles. Aucune campagne d'exploitation massive n'a encore été documentée publiquement, mais Microsoft confirme des cas réels et la disponibilité d'un PoC fiable garantit une généralisation rapide.

Impact et exposition

Tout serveur Linux sur lequel un attaquant peut exécuter du code non privilégié est concerné : hébergements mutualisés, plateformes CI/CD, environnements multi-tenants, postes développeurs avec accès SSH partagé, mais aussi conteneurs Docker, Podman et runtimes Kubernetes lorsque l'hôte est non patché. La présence du PoC public et la fiabilité de l'exploit rendent l'escalade root quasi-systématique dès qu'un accès local existe, ce qui transforme toute vulnérabilité web menant à une exécution de commande en compromission totale de l'hôte.

L'exposition est particulièrement critique pour les fournisseurs de services managés, hébergeurs cloud et opérateurs SaaS qui partagent un noyau entre plusieurs clients via la conteneurisation. Un client malveillant ou compromis peut s'évader de son conteneur dès lors que la machine hôte n'est pas patchée et que les modules vulnérables sont chargés. Les environnements de calcul scientifique partagé (HPC), souvent retardés sur les patchs noyau, constituent une cible secondaire évidente.

Les conditions d'exploitation sont triviales : tout utilisateur local non privilégié dispose des appels système splice et sendfile par défaut, et les modules esp4/esp6 sont chargés automatiquement au boot sur la majorité des distributions Linux pour le support IPsec, même quand IPsec n'est pas activement utilisé. Le module rxrpc est généralement chargé dès lors qu'AFS ou kAFS est installé, mais il peut aussi être chargé à la demande par un attaquant via un socket() approprié si le chargement automatique des modules est activé.

Microsoft confirme que Dirty Frag est déjà exploité dans des attaques post-compromission ciblées, principalement comme deuxième étage après une intrusion initiale (phishing, vulnérabilité applicative, fuite de credentials). Aucun groupe APT spécifique n'a été nommément attribué à ces exploitations à la date de publication, mais la chaîne se prête particulièrement aux opérateurs de ransomware Linux et aux groupes d'espionnage cherchant un accès persistant sur des infrastructures cloud.

Recommandations immédiates

• Appliquer immédiatement les mises à jour noyau publiées par Linux Kernel Organization le 8 mai 2026 pour CVE-2026-43284. Surveiller activement la publication du patch CVE-2026-43500 et l'appliquer dès disponibilité (advisory : Linux Kernel Security Advisory mai 2026).
• Sur Ubuntu, basculer sur les paquets linux-image-6.8.0-58-generic ou linux-image-6.11.0-29-generic et redémarrer. Sur RHEL/CentOS Stream, attendre le RHSA correspondant et appliquer dnf update kernel. Sur Debian, suivre les advisories DSA en cours.
• Mitigation en attendant le patch : décharger les modules vulnérables si non nécessaires via rmmod esp4 esp6 rxrpc xfrm_user, puis ajouter ces modules à /etc/modprobe.d/blacklist-dirtyfrag.conf avec install esp4 /bin/true pour empêcher leur chargement automatique.
• Activer la collecte d'événements auditd sur les appels splice(2) et sendfile(2) accompagnés d'écritures dans /usr/bin/sudo, /bin/su et autres binaires setuid critiques. Sysdig et Falco publient des règles de détection prêtes à l'emploi.
• Réviser le périmètre des comptes locaux et des conteneurs non privilégiés : tout accès non root devient potentiellement un accès root tant que le système n'est pas patché.
• Auditer les hôtes Kubernetes et Docker pour s'assurer que les nœuds workers ne sont pas exposés à des charges multi-tenants non patchées.