gik|iewicz

Dwie krytyczne luki w jądrze Linuksa – Copy Fail (CVE-2026-31431) oraz Dirty Frag (CVE-2026-43284 i CVE-2026-43500) – pozwalają lokalnym użytkownikom na zdobycie uprawnień root w każdej głównej dystrybucji. Publiczny kod exploitów wymusił pośpieszne wydanie poprawek. TL;DR: Copy Fail ujawniono 29 kwietnia 2026, Dirty Frag – 7 maja. Obie luki wykorzystują page cache do eskalacji uprawnień. Dirty Frag obejmuje podatności o numerach CVE-2026-43284 i CVE-2026-43500, ma 9 lat i prawdopodobnie jest aktywnie wykorzystywana w atakach. Publiczny kod dowodowy zwiększa ryzyko dla niezałatanych systemów.

Czym są podatności Copy Fail i Dirty Frag w jądrze Linuksa?

Copy Fail (CVE-2026-31431) to podatność ujawniona 29 kwietnia 2026 roku, pozwalająca lokalnym użytkownikom na eskalację uprawnień do poziomu root. Z kolei Dirty Frag to łańcuch dwóch powiązanych luk – CVE-2026-43284 i CVE-2026-43500 – ogłoszonych 7 maja. Podobnie jak Copy Fail, Dirty Frag celuje w mechanizm page cache w jądrze Linuksa. Obie luki należą do tej samej klasy błędów co znana podatność Dirty Pipe z 2022 roku. Wykorzystują one niedoskonałości w obsłudze stronicowania pamięci. W rezultacie atakujący może modyfikować zawartość pamięci podręcznej bezpośrednio, omijając system plików na dysku. To groźna kombinacja.

Podatność Dirty Frag istnieje w kodzie jądra od około 9 lat, co oznacza, że miliony systemów były potencjalnie narażone przez niemal dekadę. Ponadto badacze wskazują, że luka ta może być już aktywnie wykorzystywana w ograniczonych atakach, jeszcze zanim wydano oficjalne poprawki.

Jak działa mechanizm ataku na page cache w Linuksie?

Page cache to mechanizm jądra Linuksa służący do buforowania zawartości plików w pamięci RAM, co przyspiesza odczyty i zapisy. Zamiast czytać dane z dysku przy każdym dostępie, system przechowuje je w pamięci. Podatności Copy Fail i Dirty Frag manipulują tym buforem, pozwalając atakującemu na nadpisanie stron pamięci należących do plików z uprawnieniami roota.

Atak nie modyfikuje plików na dysku fizycznym. Zamiast tego zmienia zawartość pamięci RAM, którą system operacyjny traktuje jako wiarygodną kopię danych. Dlatego zmiany są odwracalne po restarcie, ale pozwalają na trwałą kompromitację systemu zanim to nastąpi. Proces ataku wykorzystuje wyścig (race condition) w kodzie jądra odpowiedzialnym za kopiowanie i fragmentację stron pamięci. Atakujący musi zsynchronizować operacje tak, aby w krótkim oknie czasowym nadpisać metadane strony. Wymaga to precyzji, jest to jednak wykonalne, co potwierdza publicznie dostępny kod dowodowy (PoC) opublikowany przez badawcze grupy.

Które dystrybucje Linuksa są narażone na ataki Copy Fail i Dirty Frag?

Podatności te dotyczą większości dystrybucji Linuksa, ponieważ leżą one w kodzie głównego jądra (upstream). Każda dystrybucja korzystająca z nieuwierzyconej wersji jądra jest potencjalnie narażona na atak. Poniżej zestawienie głównych celów:

• Ubuntu (wszystkie wersje LTS) – Podatna, poprawki wydane
• Debian (stable i testing) – Podatna, poprawki wydane
• RHEL / CentOS Stream – Podatna, poprawki wydane
• Fedora – Podatna, poprawki wydane
• SUSE / openSUSE – Podatna, poprawki wydane
• Arch Linux – Podatna, poprawki w repozytorium

Jak widać, żadna główna dystrybucja nie uniknęła problemu. Co więcej, środowiska chmurowe oparte na Linuksie są równie narażone, co instalacje na fizycznych serwerach. Wobec tego administratorzy muszą traktować te luki priorytetowo niezależnie od infrastruktury.

Dlaczego Dirty Frag jest nazywana „Copy Fail 2” i jaki jest jej związek z Dirty Pipe?

Badacze bezpieczeństwa i media określają Dirty Frag mianem „Copy Fail 2”, ponieważ luka ta rozszerza mechanizm ataku zapoczątkowany przez Copy Fail. Obie podatności bazują na podobnej klasie błędów w obsłudze page cache. Z kolei Dirty Pipe z 2022 roku był pierwszym publicznie znanym atakiem tego typu, udowadniając, że bufor stron pamięci jest podatnym celem.

Związek między tymi lukami polega na wykorzystaniu tego samego kanału ataku. Choć szczegóły techniczne się różnią, zasada działania pozostaje spójna: lokalny użytkownik manipuluje strukturami danych jądra w pamięci RAM. Mimo to każda kolejna luka w tej klasie ujawnia nowe wektory ataku, których programiści jądra wcześniej nie przewidzieli. Nawet narzędzia AI wspomagające bezpieczeństwo potrafią pomóc w identyfikacji takich problemów.

Jakie są realne skutki kompromitacji systemu za pomocą tych exploitów?

Skutki kompromitacji są poważne. Atakujący z uprawnieniami zwykłego użytkownika może uzyskać pełną kontrolę nad systemem. Po zdobyciu uprawnień root możliwe jest instalowanie złośliwego oprogramowania, modyfikowanie konfiguracji systemu, kradzież danych uwierzytelniających oraz tworzenie trwałych mechanizmów utrzymania dostępu.

W środowiskach wielodostępnych, na przykład na współdzielonych serwerach hostingowych czy w chmurze, zagrożenie jest szczególnie wysokie. Jeden skompromitowany kontener lub maszyna wirtualna może posłużyć do ataku na inne instancje. Z tego powodu dostawcy usług chmurowych wydali pilne poprawki. Co więcej, luki te obniżają zaufanie do mechanizmów izolacji w systemach opartych na Linuksie. Jeśli lokalny użytkownik może eskalować uprawnienia do roota, cała architektura bezpieczeństwa oparta na podziale uprawnień traci sens. Ryzyko narasta szczególnie po początkowym włamaniu do systemu.

Jakie techniki łagodzące skutki ataku można wdrożyć przed instalacją poprawek?

Wdrożenie odpowiednich zabezpieczeń przed instalacją oficjalnych łatek jest kluczowe dla minimalizacji ryzyka. Luka Dirty Frag istnieje w kodzie jądra od około 9 lat, co daje atakującym szerokie okno czasowe na operowanie. Zastosowanie profili SELinux lub AppArmor w trybie wymuszającym ogranicza możliwości eksploitacji.

Należy również zminimalizować liczbę kont użytkowników z dostępem do powłoki. Ponadto warto wdrożyć monitorowanie logów pod kątem podejrzanej aktywności. Otóż ataki na page cache wymagają uruchomienia kodu lokalnie. Zatem ograniczenie dostępu do shella zmniejsza powierzchnię ataku. Wobec tego administratorzy powinni restrykcyjnie podchodzić do przyznawania uprawnień. Do technik łagodzących należą:

• Włączenie i restrykcyjna konfiguracja modułów bezpieczeństwa SELinux oraz AppArmor
• Ograniczenie liczby użytkowników posiadających dostęp do powłoki systemowej
• Monitorowanie logów audytu pod kątem nietypowych wywołań systemowych
• Aktualizacja jądra do najnowszej wersji bezpośrednio po wydaniu poprawek
• Wykorzystanie wirtualizacji sprzętowej do izolacji krytycznych procesów
• Ograniczenie montowania writable filesystems tam, gdzie nie jest to wymagane
• Wdrożenie mechanizmów auditd do śledzenia wywołań splice i vmsplice
• Regularne skanowanie systemów w poszukiwaniu nieautoryzowanych plików wykonywalnych

Jak wyglądała chronologia ujawnienia podatności i dlaczego wydano pośpieszne poprawki?

Chronologia ujawnienia obu luk była niezwykle dynamiczna i wymusiła natychmiastowe działania. Copy Fail ujawniono 29 kwietnia 2026, a Dirty Frag zaledwie 9 dni później, 7 maja. Pośpieszne wydanie łatek było bezpośrednim wynikiem złamania embarga na informacje o podatnościach. Publiczna dyskusja wymusiła szybką reakcję programistów.

Proces koordynowanego ujawnienia został zakłócony przedwcześnie. W rezultacie twórcy dystrybucji musieli przyspieszyć wydanie poprawek, aby wyprzedzić potencjalnych atakujących. Choć embargo zostało złamane, deweloperzy zdołali dostarczyć stabilne i skuteczne łatki w rekordowo krótkim czasie, zabezpieczając w ten sposób najbardziej popularne środowiska przed skutkami exploitacji.

FAQ

Czym różnią się luki Copy Fail i Dirty Frag?

Copy Fail (CVE-2026-31431) oraz Dirty Frag (CVE-2026-43284 i CVE-2026-43500) to podatności w jądrze Linuksa pozwalające na eskalację uprawnień do poziomu root. Copy Fail ujawniono 29 kwietnia 2026 roku, natomiast Dirty Frag ogłoszono 7 maja. Choć obie wykorzystują page cache, Dirty Frag to łańcuch dwóch powiązanych luk, które dominowały w kodzie jądra przez ostatnie 9 lat.

Czy luki Copy Fail i Dirty Frag zagrażają środowiskom chmurowym?

Tak, podatności te są szczególnie niebezpieczne w środowiskach chmurowych i na współdzielonych serwerach hostingowych. Ponieważ atakujący może użyć jednego skompromitowanego konta lub maszyny wirtualnej do eskalacji uprawnień, grozi to złamaniem izolacji i atakom na inne instancje działające na tym samym sprzęcie.

Czy restart systemu usuwa skutki ataku wykorzystującego te luki?

Tak, ponieważ exploity modyfikują zawartość pamięci RAM (page cache), a nie pliki na fizycznym dysku. Restart systemu powoduje wyczyszczenie pamięci podręcznej i załadowanie oryginalnych danych z dysku. Należy jednak pamiętać, że przed restartem atakujący z uprawnieniami root może zdążyć zainstalować złośliwe oprogramowanie lub stworzyć sobie trwały dostęp.

Jakie są najlepsze praktyki zabezpieczeń przed atakami na page cache?

Kluczowe jest ograniczenie liczby użytkowników posiadających dostęp do powłoki systemowej (shella), ponieważ luki wymagają uruchomienia kodu lokalnie. Dodatkowo należy włączyć moduły bezpieczeństwa takie jak SELinux lub AppArmor w trybie wymuszającym oraz na bieżąco monitorować logi audytu pod kątem nietypowych wywołań systemowych (np. splice i vmsplice).