Dirty Frag CVE-2026-43284 : LPE root Linux, PoC public

Les faits

Dirty Frag est le nom donné à une chaîne d'exploitation combinant deux vulnérabilités du noyau Linux — CVE-2026-43284 et CVE-2026-43500 — découvertes et publiées le 7 mai 2026. Cette chaîne permet à tout utilisateur local non privilégié d'obtenir les droits root sur le système affecté, sur la quasi-totalité des distributions Linux majeures. Le CERT-FR a émis une alerte le 8 mai 2026 et une preuve de concept publique est disponible depuis la divulgation, rendant la menace immédiate et concrète pour tous les systèmes Linux non patchés, selon les analyses de Tenable, Wiz Blog, Sysdig et le Microsoft Security Blog.

Le nom "Dirty Frag" fait référence à DirtyPipe (CVE-2022-0847), la célèbre vulnérabilité Linux de 2022 qui avait permis une LPE via une faille dans la gestion des buffers pipe. Comme DirtyPipe, Dirty Frag est déterministe, mais avec un avantage supplémentaire pour l'attaquant : contrairement à son prédécesseur qui nécessitait un timing précis dans une fenêtre de race condition, Dirty Frag est entièrement déterministe et fiable. Il n'y a pas de fenêtre temporelle à respecter, pas de tentative à répéter, et le taux de succès est proche de 100 % avec un risque minimal de kernel panic, rendant cette vulnérabilité parfaitement adaptée à une exploitation automatisée et silencieuse à grande échelle.

CVE-2026-43284 est la première composante de la chaîne. Elle affecte les modules du noyau Linux gérant le protocole ESP (Encapsulating Security Protocol), l'un des deux protocoles fondamentaux d'IPsec. IPsec est largement utilisé pour les VPN d'entreprise, les communications chiffrées entre datacenters, et diverses communications sécurisées au niveau réseau. La faille réside dans la gestion des fragments de paquets par le module ESP, qui permet à un attaquant local de provoquer une écriture de 4 octets dans une zone arbitraire de la mémoire noyau — une primitive dite "4-byte STORE dans le page-cache". Cette primitive est insuffisante seule pour une escalade complète, mais constitue la première étape indispensable de la chaîne. Le score CVSS 3.1 est 8.8 (HIGH), évalué par le CNA kernel.org. Red Hat inclut également CVE-2026-46300 dans son advisory RHSB-2026-003, une troisième référence liée à la même surface d'attaque dans le sous-système réseau.

CVE-2026-43500 est la deuxième composante, affectant les modules gérant le protocole RxRPC (Reliable Transport Protocol for Remote Procedure Calls), utilisé par le système de fichiers distribué AFS (Andrew File System). La faille dans le module RxRPC permet à un attaquant local de manipuler la gestion des espaces de noms (namespaces) du noyau, offrant une primitive de création d'espace de noms privilégié. Le score CVSS 3.1 est évalué à 7.8 par Canonical dans leur analyse Ubuntu (ubuntu.com/blog/dirty-frag-linux-vulnerability-fixes-available), les scores NVD officiels n'étant pas encore assignés à la date de rédaction.

La chaîne d'exploitation complète fonctionne ainsi : l'attaquant utilise CVE-2026-43284 (module ESP) pour établir la primitive d'écriture 4 octets dans le page-cache noyau (primitive "xfrm-ESP Page-Cache Write"), puis enchaîne avec CVE-2026-43500 (module RxRPC) pour créer un namespace privilégié (primitive "RxRPC Page-Cache Write"), permettant finalement une élévation complète vers root. Le résultat est une LPE fiable fonctionnant sans race condition, sans nécessité de capacités spéciales, et sans déclencher les mécanismes de protection habituels tels que SMEP, SMAP, ou les protections de stack du noyau, selon les analyses techniques de Tenable et Nebius Security.

La disponibilité d'une preuve de concept publique transforme Dirty Frag d'une vulnérabilité théorique en une menace opérationnelle immédiate. Le PoC permet à n'importe quel utilisateur disposant d'un accès shell local de devenir root en une seule commande. Cette accessibilité rend Dirty Frag particulièrement dangereux dans les contextes suivants : hébergement mutualisé avec accès SSH partagé, machines virtuelles multi-tenants, conteneurs Docker mal isolés depuis l'hôte, environnements CI/CD où du code arbitraire est exécuté, et tout système où un attaquant a préalablement obtenu un accès utilisateur bas privilège via une autre vulnérabilité applicative.

Microsoft Security Blog a confirmé le 8 mai 2026 que Dirty Frag est activement utilisée dans des campagnes post-compromission. Des acteurs malveillants ayant obtenu un accès initial via phishing, exploitation web (webshell, injection SQL, RCE applicatif) ou autres vecteurs utilisent Dirty Frag pour élever leurs privilèges vers root et consolider leur persistance sur les systèmes Linux compromis. Cette confirmation d'exploitation active in-the-wild place Dirty Frag dans la catégorie des vulnérabilités à patcher en priorité absolue, quelle que soit la difficulté opérationnelle de la mise en oeuvre du patch noyau.

Les distributions Linux affectées comprennent la quasi-totalité des distributions majeures : Ubuntu 20.04, 22.04 et 24.04 LTS, Red Hat Enterprise Linux 8 et 9, CentOS Stream 8 et 9, AlmaLinux, Rocky Linux, Fedora, openSUSE Leap et Tumbleweed, Debian (versions stables récentes), et OpenShift via le noyau RHEL sous-jacent. Des patches noyau sont disponibles depuis les équipes de sécurité respectives de ces distributions. CloudLinux et TuxCare ont publié des live patches via KernelCare permettant d'appliquer le correctif sans redémarrage du système, une option particulièrement précieuse pour les serveurs de production critiques ne pouvant tolérer de fenêtre de maintenance.

Impact et exposition

L'exposition à Dirty Frag est particulièrement étendue car elle touche le noyau Linux lui-même, indépendamment des applications installées. Tout système Linux non patché sur lequel un utilisateur non privilégié peut exécuter du code est potentiellement vulnérable : serveurs d'hébergement mutualisé avec accès SSH, environnements de développement partagés, instances de cloud public (AWS EC2, GCP VM, Azure VM sous Linux), systèmes CI/CD, conteneurs Docker mal isolés depuis l'hôte, et postes de travail Linux d'entreprise.

Dans un contexte de sécurité offensive, Dirty Frag est l'outil idéal en phase post-exploitation. Après avoir obtenu un premier accès via une vulnérabilité applicative (webshell, injection, RCE), l'attaquant utilise Dirty Frag pour élever ses privilèges vers root, ce qui lui permet de désactiver les mécanismes de sécurité (SELinux, AppArmor, auditd), d'installer des rootkits persistants, de lire les secrets système (clés SSH, certificats, tokens API), et d'assurer sa persistance sur le long terme. Microsoft Security Blog confirme exactement ce scénario d'utilisation dans des attaques réelles observées en mai 2026.

La mitigation technique disponible en attendant un patch noyau — désactiver les modules ESP et RxRPC via modprobe -r esp4 esp6 et modprobe -r rxrpc — a un impact opérationnel significatif : elle désactive les tunnels IPsec gérés par le data path noyau (utilisés par strongSwan, Libreswan, WireGuard en mode noyau). Cette mitigation ne doit absolument pas être appliquée sur les hôtes terminant ou relayant du trafic IPsec sans analyse préalable approfondie de l'impact sur les communications réseau critiques.

Recommandations immédiates

• Appliquer les patches noyau disponibles pour votre distribution — Red Hat RHSB-2026-003, Ubuntu Security Notices (uname -r pour identifier votre version), Debian Security Advisory — en planifiant le redémarrage nécessaire
• Utiliser un live patch KernelCare (TuxCare) ou Ubuntu Livepatch pour patcher sans redémarrage sur les systèmes de production critiques
• Si le patch ne peut etre appliqué et qu'IPsec n'est pas utilisé : modprobe -r esp4 esp6 rxrpc pour supprimer les modules vulnérables
• Vérifier si les modules vulnérables sont actifs : lsmod | grep -E "esp4|esp6|rxrpc" — leur présence confirme l'exposition
• Auditer les systèmes pour détecter des élévations de privilèges récentes : nouveaux binaires SUID, modifications de /etc/sudoers, nouveaux comptes root, processus inhabituels en écoute
• Identifier en priorité les systèmes à accès shell multi-utilisateurs (hébergement mutualisé, CI/CD, VDI Linux) comme cibles d'exploitation les plus probables