This is an update to our Threat Response sent on the 8 of May 2026 regarding a vulnerability ‘Dirty Frag’ in Linux distributions.
We want to update you on our latest threat response regarding a Linux kernel vulnerability class dubbed “Dirty Frag”. This issue can allow an unprivileged local user to obtain root (full) privileges on many major Linux distributions. Immediate attention is required for environments where untrusted code can run locally (e.g. shared servers, CI runners, container hosts, bastion/jump servers).
In our initial threat response, we stated the following:
Check whether the modules are present/loaded:
lsmod | egrep '^(esp4|esp6|rxrpc)\b'.Further research on our end has shown that it is not necessary for the vulnerable modules to be already loaded. Checking with the previously shared command will not prove that a system is not vulnerable. With commands such as
modinfo rxrpc, you can check which version of the modules is present. These modules are widespread, and it is rare not to encounter them on a current distribution. The exploit that is readily available will abuse the modules whether they are already loaded or not, unless mitigations are in place or (future) updates remove the vulnerability.With this additional finding, we advise performing the following mitigation actions on all Linux distributions.
Mitigation
-
Apply vendor patches as soon as they become available: monitor your distribution/vendor security advisories and update the kernel promptly when fixes are released. Some vendors have indicated that testing builds and/or live patching efforts are under way.
-
Immediate workaround: blacklist and unload vulnerable modules (where feasible): a widely recommended workaround is to prevent loading and unload the affected modules (esp4, esp6, rxrpc) if they are not required in your environment:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Note that disabling esp4/esp6 can break IPsec VPN/tunnelling on systems that rely on kernel ESP transforms. -
Clear page cache (recommended after applying mitigation): because the exploit targets the page cache, multiple advisories recommend rebooting after mitigations, especially if you suspect prior exposure.
What should you do?
-
If your operational requirements allow it, apply the workaround (blacklist/unload modules) on priority systems first.
-
Plan for kernel patching: as soon as your distribution releases fixes, schedule reboots where needed.
-
If you suspect compromise or have high exposure: review local authentication and privilege escalation traces (sudo logs, PAM/auth logs, unusual local users).
What will Northwave do?
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure.
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure.
We will continue to monitor developments related to this attack. If new critical information arises, we will contact you. If you would like additional information, please feel free to call us or send an email.
E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
Disclaimer applies, see below.
Sources
Dit is een update op onze Threat Response, verzonden op 8 mei 2026, met betrekking tot een kwetsbaarheid genaamd ‘Dirty Frag’ in Linux‑distributies.
Wij willen u een update geven over onze meest recente dreigingsanalyse met betrekking tot een Linux-kernelkwetsbaarheidsklasse met de naam “Dirty Frag”. Dit probleem kan het voor een niet-geprivilegieerde lokale gebruiker mogelijk maken om root‑ (volledige) rechten te verkrijgen op veel gangbare Linux-distributies. Directe aandacht is vereist voor omgevingen waarin niet-vertrouwde code lokaal kan worden uitgevoerd (bijv. gedeelde servers, CI‑runners, containerhosts, bastion-/jumpservers).
In onze initiële dreigingsanalyse hebben wij het volgende aangegeven:
Controleer of de modules aanwezig/geladen zijn:
Verder onderzoek van onze kant heeft aangetoond dat het niet noodzakelijk is dat de kwetsbare modules al geladen zijn. Controleren met het eerder gedeelde commando bewijst niet dat een systeem niet kwetsbaar is. Met commando’s zoals
lsmod | egrep '^(esp4|esp6|rxrpc)\b'.Verder onderzoek van onze kant heeft aangetoond dat het niet noodzakelijk is dat de kwetsbare modules al geladen zijn. Controleren met het eerder gedeelde commando bewijst niet dat een systeem niet kwetsbaar is. Met commando’s zoals
modinfo rxrpc kunt u controleren welke versie van de modules aanwezig is. Deze modules zijn wijdverbreid en het is zeldzaam om ze niet tegen te komen op een actuele distributie. De exploit die momenteel beschikbaar is, misbruikt de modules ongeacht of ze al geladen zijn, tenzij mitigaties zijn ingesteld of (toekomstige) updates de kwetsbaarheid verhelpen.Met deze aanvullende bevinding adviseren wij om de volgende mitigerende maatregelen uit te voeren op alle Linux-distributies.
Mitigatie
-
Pas leverancierspatches toe zodra deze beschikbaar zijn: volg de beveiligingsadviezen van uw distributie/leverancier en werk de kernel zo snel mogelijk bij wanneer fixes worden uitgebracht. Sommige leveranciers hebben aangegeven dat testbuilds en/of live‑patchingtrajecten in voorbereiding zijn.
-
Directe workaround: modules blacklisten en unloaden (waar mogelijk): Een veelgenoemde workaround is het blokkeren van laden en het unloaden van de modules esp4, esp6 en rxrpc (indien niet nodig):
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Let op: het uitschakelen van esp4/esp6 kan IPsec VPN‑ of tunnelfunctionaliteit verstoren op systemen die afhankelijk zijn van kernel‑ESP‑transformaties. -
Pagina‑cache wissen (aanbevolen na het toepassen van mitigaties): omdat de exploit zich richt op de page cache, adviseren meerdere meldingen om na mitigaties een herstart uit te voeren, vooral als u eerdere blootstelling vermoedt.
Wat moet u doen?
-
Als uw operationele vereisten dit toelaten, pas de workaround (blacklist’en/ontladen van modules) eerst toe op systemen met de hoogste prioriteit.
-
Plan kernel‑patching: plan herstarts in zodra uw distributie fixes heeft uitgebracht, indien nodig.
-
Als u een compromis vermoedt of een hoge blootstelling heeft: controleer lokale authenticatie‑ en privilege‑escalatiesporen (sudo‑logs, PAM/auth‑logs, ongebruikelijke lokale gebruikers).
Wat gaat Northwave doen?
Klanten van Vulnerability Management worden geïnformeerd indien kwetsbare systemen in hun infrastructuur worden gedetecteerd.
Wij volgen verdere ontwikkelingen rondom deze kwetsbaarheid. Bij nieuwe kritieke informatie nemen wij contact met u op. U kunt ons telefonisch of per e-mail benaderen voor aanvullende vragen.
E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000
Disclaimer van toepassing, zie onderaan.
Bronnen
Disclaimer
Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We shall not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.