Dirty Frag: une nouvelle faille menace les serveurs Linux
Microsoft alerte sur «Dirty Frag», une nouvelle vulnérabilité Linux activement surveillée permettant une élévation de privilèges root après compromission initiale. Comparable à CopyFail, l’exploit cible plusieurs composants réseau du kernel.
Microsoft alerte sur une nouvelle vulnérabilité Linux surnommée «Dirty Frag», permettant à un attaquant déjà présent sur un système d’obtenir les privilèges root. Similaire à la faille CopyFail révélée début mai, Dirty Frag cible plusieurs composants réseau du kernel afin de rendre l’élévation de privilèges plus fiable.
Les vulnérabilités, référencées CVE-2026-43284 pour les composants esp4 et esp6, ainsi que CVE-2026-43500 pour rxrpc, affectent notamment Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE et OpenShift. Selon la National Vulnerability Database (NVD), plusieurs branches des kernels Linux 5.x et 6.x largement déployées dans les environnements serveur et cloud sont concernées.
Dirty Frag exploite des mécanismes de fragmentation mémoire liés aux composants ESP/IPsec du kernel, fréquemment utilisés pour IPsec, les VPN et diverses charges réseau en entreprise.
L’éditeur observe déjà une activité limitée dans la nature. Dans le scénario documenté, une fois l’accès root obtenu, les attaquants peuvent notamment désactiver des outils de sécurité, accéder à des identifiants sensibles, effectuer des mouvements latéraux ou établir une persistance sur le système compromis.
Microsoft décrit également une séquence d’attaque où les attaquants auraient effectué des opérations de reconnaissance sur les répertoires GLPI et la configuration système avant d’interagir avec plusieurs fichiers de session PHP. Selon l’éditeur, plusieurs sessions auraient été supprimées avant la lecture des données restantes, suggérant à la fois une perturbation des sessions actives et un accès à des informations sensibles.
Correctifs encore incomplets
La Linux Kernel Organization a publié des correctifs pour CVE-2026-43284. En revanche, aucun patch n’est encore disponible pour CVE-2026-43500, qui reste réservé mais non publié.
Dans l’attente, Microsoft recommande de désactiver les modules kernel rxrpc inutilisés, d’évaluer la désactivation des fonctionnalités esp4, esp6 et xfrm/IPsec associées, de restreindre l’accès shell local et de renforcer les workloads conteneurisés. Les chercheurs soulignent également dans leur documentation GitHub que certaines mitigations déployées contre CopyFail, comme le blacklistage du module algif_aead, ne protègent pas contre Dirty Frag.
Microsoft précise enfin que ces mesures ne suffisent pas nécessairement à annuler les modifications introduites après une compromission réussie, certaines altérations pouvant persister en mémoire ou dans le cache système.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
