تنبع ثغرات تصعيد الامتيازات من أخطاء في معالجة kernel لذاكرة التخزين المؤقت للصفحات المخزنة في الذاكرة، مما يسمح للمستخدمين غير الموثوق بهم بتعديلها. إنها تستهدف ذاكرة التخزين المؤقت في مكونات الشبكات ومعالجة أجزاء الذاكرة. على وجه التحديد، يهاجم CVE-2026-43284 عمليات esp4 وesp6 ()، وCVE-2026-43500 يهاجم rxrpc. استغلت عملية CopyFail التي حدثت الأسبوع الماضي التخزين المؤقت الخاطئ للصفحة في عملية قالب المصادقة EAAD، والتي تُستخدم لأرقام تسلسل IPsec الموسعة. نشأت ثغرة أمنية عام 2022 تسمى Dirty Pipe أيضًا من عيوب تسمح للمهاجمين بالكتابة فوق ذاكرة التخزين المؤقت للصفحات.
كتب باحثون من شركة الأمن Automox:
ينتمي Dirty Frag إلى نفس عائلة الأخطاء مثل Dirty Pipe وCopy Fail، ولكنه يستهدف frag عضو في النواة هيكل sk_buff بدلا من Pipe_buffer. استغلال يستخدم لصق() لزرع مرجع إلى صفحة ذاكرة التخزين المؤقت للصفحة للقراءة فقط (على سبيل المثال، /etc/passwd أو /usr/bin/su) في frag فتحة من جانب المرسل skb. بعد ذلك، يقوم رمز kernel من جانب المستقبِل بتنفيذ عمليات تشفير موضعية على هذا الجزء، مما يؤدي إلى تعديل ذاكرة التخزين المؤقت للصفحة في ذاكرة الوصول العشوائي (RAM). كل قراءة لاحقة للملف ترى النسخة التالفة، على الرغم من أن المهاجم لم يكن لديه حق الوصول للقراءة إلا على الإطلاق.
تم العثور على CVE-2026-43284 في عملية esp_input() على مسار استلام IPsec ESP. عندما يكون كائن skb غير خطي ولكنه يفتقر إلى قائمة الأجزاء، فإن الكود يتخطى skb_cow_data() ويفك تشفير AEAD في مكانه على الجزء المزروع. ومن هناك، يمكن للمهاجم التحكم في إزاحة الملف وقيمة 4 بايت لكل مخزن.
وفي الوقت نفسه، يوجد CVE-2026-43500 في rxkad_verify_packet_1(). تقوم العملية بفك تشفير حمولات RxRPC باستخدام عملية أحادية الكتلة. تصبح الصفحات المثبتة بالوصلات مصدرًا ووجهة معًا. وهذا، مقترنًا بمفتاح فك التشفير الذي يتم استخراجه بحرية باستخدام add_key (rxrpc)، يسمح للمهاجم بإعادة كتابة المحتويات في الذاكرة.
أما الاستغلال المستخدم بشكل منفصل فهو غير موثوق به. تستخدم بعض تكوينات Ubuntu AppArmor لمنع المستخدمين غير الموثوق بهم من إنشاء محتويات مساحة الاسم. وهذا بدوره يحيد تقنية ESP. معظم التوزيعات الأخرى بشكل افتراضي لا تقوم بتشغيل rxrpc.ko، الذي يعمل على تحييد ذراع RxRPC. ومع ذلك، عند ربطهما معًا، تسمح الثغرات للمهاجمين بالحصول على الجذر في كل توزيعة رئيسية اختبرها كيم. بمجرد تشغيل عمليات الاستغلال، يمكن للمهاجمين استخدام الوصول إلى SSH، أو تنفيذ هيكل الويب، أو الهروب من الحاوية، أو اختراق الحسابات ذات الامتيازات المنخفضة.
وكتب باحثو مايكروسوفت: “إن Dirty Frag جدير بالملاحظة لأنه يقدم مسارات متعددة لهجوم kernel تتضمن مكونات شبكات rxrpc وesp/xfrm لتحسين موثوقية الاستغلال”. “بدلاً من الاعتماد على نوافذ توقيت ضيقة أو ظروف الفساد غير المستقرة المرتبطة غالبًا باستغلال تصعيد امتيازات Linux المحلية، يبدو أن Dirty Frag مصمم لزيادة الاتساق عبر البيئات الضعيفة.”
قال الباحثون في Wiz المملوكة لشركة Google إن عمليات الاستغلال ستكون أقل عرضة للاختراق في بيئات الحاويات المتشددة مثل Kubernets مع وجود إعدادات الأمان الافتراضية. “ومع ذلك، يظل الخطر كبيرًا بالنسبة للأجهزة الافتراضية أو البيئات الأقل تقييدًا.”
أفضل استجابة لأي شخص يستخدم Linux هو تثبيت التصحيحات على الفور. في حين أن الإصلاحات من المحتمل أن تتطلب إعادة التشغيل، فإن الحماية من تهديد خطير مثل Dirty Frag تفوق تكلفة الاضطرابات. يجب على أي شخص لا يمكنه التثبيت على الفور اتباع خطوات التخفيف الموضحة في المنشورات المرتبطة أعلاه. يمكن العثور على إرشادات إضافية هنا.
