Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

See all Threat Responses

A new Linux kernel vulnerability class dubbed “Dirty Frag”[1] has been publicly disclosed before patches were widely available, along with proof-of-concept (PoC) exploit code. This issue can allow an unprivileged local user to obtain root (full) privileges on many major Linux distributions. Immediate attention is required for environments where untrusted code can run locally (e.g., shared servers, CI runners, container hosts, bastion/jump servers).

Description
Dirty Frag is a universal local privilege escalation (LPE) technique that can achieve root privileges by chaining two kernel issues: xfrm-ESP Page-Cache Write and RxRPC Page-Cache Write. The weaknesses sit in the in-place decryption “fast paths” of the esp4, esp6, and rxrpc kernel modules.Because the coordinated disclosure embargo was broken, the researcher published technical details and the PoC while many distributions were still preparing fixes. At the time of writing there is no widely distributed patch baseline and no consistently assign ed CVE across vendors (CVE-2026-43284 and CE-2026-43500 are mentioned by CloudLinux[2] and SUSE[3]).

Impact
We estimate the impact of this vulnerability as High. An attacker who can execute code locally (including via an initial foothold such as a compromised service account, vulnerable web application, or misconfigured container workload) may be able to:

  • Escalate from an unprivileged user to root (full system control).
  • Modify protected system files in memory (page cache), enabling persistent privilege escalation behaviour until cache is cleared or the system is rebooted.
  • Disable security controls, plant backdoors, access sensitive data, and tamper with workloads running on the host.

Risk
The risk level of this vulnerability is High, because:

  • Public PoC exploit code is available.[4]
  • The disclosure occurred before coordinated patch rollouts, leaving a window where mitigations may be the only immediate option.
  • The Linux kernel is widely deployed across server, cloud, and platform environments, so the exposure footprint can be large.

Mitigation

  1. Apply vendor patches as soon as they become available: Monitor your distribution/vendor security advisories and update the kernel promptly when fixes are released. Some vendors have indicated testing builds and/or livepatch efforts are underway.
  2. Immediate workaround: blacklist and unload vulnerable modules (where feasible): A widely recommended workaround is to prevent loading and unload the affected modules (esp4, esp6, rxrpc) if they are not required in your environment:
    sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
    Note that disabling esp4/esp6 can break IPsec VPN/tunneling on systems that rely on kernel ESP transforms.
  3. Clear page cache (recommended after applying mitigation): Because the exploit targets page cache, multiple advisories recommend rebooting after mitigations, especially if you suspect prior exposure.

What should you do?

  1. Identify Linux systems: where untrusted users/workloads can execute locally (shared servers, CI runners, container hosts, bastions)
  2. Check whether the modules are present/loaded: lsmod | egrep '^(esp4|esp6|rxrpc)\b'
  3. If your operational requirements allow it, apply the workaround (blacklist/unload modules) on priority systems first.
  4. Plan for kernel patching: as soon as your distribution releases fixes; schedule reboots where needed.
  5. If you suspect compromise or have high exposure: Review local auth and privilege escalation traces (sudo logs, PAM/auth logs, unusual local users).

What will Northwave do?
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure. We will continue to monitor developments related to this attack. If new critical information arises, we will contact you. If you would like additional information, please feel free to call us or send an email.


E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000

Disclaimer applies, see below.

Sources
[1]: https://www.phoronix.com/news/Dirty-Frag-Linux
[2]: https://blog.cloudlinux.com/dirty-frag-mitigation-and-kernel-update
[3]: https://www.suse.com/c/addressing-copy-fail2-aka-dirtyfrag-in-suse-virtualization/
[4]: https://github.com/V4bel/dirtyfrag

Er is een nieuwe kwetsbaarheid in de Linux kernel openbaar gemaakt onder de naam “Dirty Frag”[1]. De publicatie gebeurde vóórdat patches breed beschikbaar waren en er is proof-of-concept (PoC) exploitcode gepubliceerd. Dit kan een lokale gebruiker met lage rechten in staat stellen om root-rechten (volledige controle) te verkrijgen op veel gangbare Linux-distributies. Directe aandacht is nodig, vooral waar onvertrouwde code lokaal kan draaien (bijv. shared servers, CI runners, container hosts, jump servers).

Beschrijving
Dirty Frag is een universal local privilege escalation (LPE) waarbij root-rechten verkregen kunnen worden door het chainen van twee kernel-issues: xfrm-ESP Page-Cache Write en RxRPC Page-Cache Write. De kwetsbaarheden zitten in de in-place decryptie “fast paths” van de kernelmodules esp4, esp6 en rxrpc.Doordat het coordinated disclosure embargo is gebroken, zijn details en Proof of Concept exploitcode publiek gemaakt terwijl veel distributies nog bezig waren met patches. Op het moment van schrijven is er nog geen breed uitgerolde patchbasis en is er geen eenduidig toegewezen CVE over alle leveranciers heen (CVE-2026-43284 and CE-2026-43500 worden vermeld door CloudLinux[2] en SUSE[3]).

Impact
Wij schatten de impact van deze kwetsbaarheid in als Hoog. Een aanvaller die lokaal code kan uitvoeren (ook na een eerste foothold zoals een gecompromitteerde applicatie/service account of misconfiguratie) kan mogelijk:

  • De rechten verhogen naar root (volledige systeemcontrole).
  • Beschermde systeembestanden in het geheugen (page cache) aanpassen, deze aanpassing blijft actief zolang de cache niet is geleegd of het systeem niet is herstart.
  • Beveiligingsmaatregelen omzeilen, backdoors plaatsen, data benaderen en workloads op de host manipuleren.

Risico
Het risiconiveau van deze kwetsbaarheid is Hoog, aangezien:

  • Publieke PoC exploitcode beschikbaar is, wat misbruik vereenvoudigt.[4]
  • De disclosure plaatsvond vóór gecoördineerde patch-distributie, waardoor mitigaties mogelijk de enige directe maatregel zijn.
  • Linux is zeer breed ingezet in server-, cloud- en platformomgevingen, waardoor het aanvalsoppervlak groot is

Mitigatie

  • Patchen zodra leveranciers updates uitbrengen: Volg security advisories van je distributie/leverancier en update de kernel zodra fixes beschikbaar zijn; sommige leveranciers geven aan dat testing builds en/of livepatches in opbouw zijn.
  • Directe workaround: modules blacklisten en unloaden (waar mogelijk): Een veelgenoemde workaround is het blokkeren van laden en het unloaden van de modules esp4, esp6 en rxrpc (indien niet nodig):
    sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
  • Page cache legen (aanbevolen na mitigatie): Omdat de aanval op de page cache werkt, adviseren we een reboot, zeker bij mogelijke blootstelling.

Wat moet u doen?

  1. Inventariseer Linux-systemen waar onbetrouwbare users/workloads lokaal kunnen draaien (shared servers, CI runners, container hosts, bastions).
  2. Controleer of modules geladen zijn: lsmod | egrep '^(esp4|esp6|rxrpc)\b'
  3. Indien operationeel mogelijk: pas de workaround toe (blacklist/unload) op prioriteitssystemen.
  4. Plan kernel updates zodra je distributie fixes publiceert; houd rekening met benodigde reboots.
  5. Bij verhoogde exposure of vermoeden van compromise: controleer auth/privilege-escalation logging (sudo, PAM/auth logs, ongebruikelijke lokale accounts)

Wat gaat Northwave doen?Klanten van Vulnerability Management worden geïnformeerd indien kwetsbare systemen in hun infrastructuur worden gedetecteerd.Wij volgen verdere ontwikkelingen rondom deze kwetsbaarheid. Bij nieuwe kritieke informatie nemen wij contact met u op. U kunt ons telefonisch of per e-mail benaderen voor aanvullende vragen.

E-mail: soc@northwave-cybersecurity.com

Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000

Disclaimer van toepassing, zie onderaan.

Bronnen
[1]: https://www.phoronix.com/news/Dirty-Frag-Linux
[2]: https://blog.cloudlinux.com/dirty-frag-mitigation-and-kernel-update
[3]: https://www.suse.com/c/addressing-copy-fail2-aka-dirtyfrag-in-suse-virtualization/
[4]: https://github.com/V4bel/dirtyfrag

 

 

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.

.