Uma nova vulnerabilidade zero-day no Linux, chamada Dirty Frag, permite que invasores locais elevem privilégios e obtenham acesso root em grande parte das principais distribuições Linux. A falha foi divulgada pelo pesquisador Hyunwoo Kim, que também publicou uma prova de conceito do exploit após a quebra do embargo de divulgação pública.

Segundo Kim, a vulnerabilidade foi introduzida há cerca de nove anos no kernel Linux, mais especificamente na interface de algoritmo criptográfico algif_aead. A exploração permite que um usuário local modifique arquivos protegidos do sistema diretamente na memória, sem autorização, e alcance privilégios administrativos com um único comando.

O Dirty Frag funciona por meio do encadeamento de duas falhas distintas no kernel: a vulnerabilidade xfrm-ESP Page-Cache Write e a vulnerabilidade RxRPC Page-Cache Write. Juntas, elas permitem alterações não autorizadas em arquivos protegidos carregados em cache, abrindo caminho para a escalada de privilégios.

A falha pertence à mesma classe de vulnerabilidades de Dirty Pipe e Copy Fail, ambas também associadas à manipulação indevida de dados em cache de páginas do kernel. No entanto, o Dirty Frag explora o campo de fragmento de uma estrutura de dados diferente do kernel, ampliando a superfície técnica desse tipo de problema.

De acordo com Kim, assim como ocorreu com a vulnerabilidade Copy Fail, o Dirty Frag permite escalada imediata de privilégios para root em grandes distribuições Linux e também depende do encadeamento de duas vulnerabilidades separadas. O pesquisador destacou que a falha é um bug lógico determinístico, ou seja, não depende de uma janela de tempo específica para funcionar.

Essa característica torna o Dirty Frag particularmente relevante do ponto de vista defensivo. Como a exploração não exige uma condição de corrida, o exploit não depende de precisão temporal para ter sucesso. Além disso, segundo o pesquisador, o kernel não entra em pânico quando a tentativa falha, e a taxa de sucesso é considerada muito alta.

Até o momento descrito na divulgação, a vulnerabilidade ainda não havia recebido um identificador CVE para identificação. Também não havia patches disponíveis para várias distribuições afetadas, incluindo Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed e Fedora.

A documentação completa e a prova de conceito foram publicadas após a quebra do embargo em 7 de maio de 2026. Segundo Kim, um terceiro não relacionado publicou o exploit de forma independente, antecipando a divulgação pública. Após consulta aos mantenedores por meio da lista linux-distros@vs.openwall.org, o pesquisador afirmou que a publicação do documento foi feita a pedido dos responsáveis pela coordenação.

Como medida temporária de mitigação, usuários Linux podem remover os módulos vulneráveis esp4, esp6 e rxrpc do kernel. No entanto, essa ação pode afetar funcionalidades importantes, já que a desativação desses componentes pode interromper VPNs IPsec e sistemas de arquivos distribuídos AFS.

O comando indicado para mitigação cria uma configuração em /etc/modprobe.d/dirtyfrag.conf para impedir o carregamento dos módulos esp4, esp6 e rxrpc, além de tentar removê-los da sessão atual. A aplicação dessa medida deve ser avaliada com cautela por administradores, especialmente em ambientes corporativos que dependem de conectividade VPN ou recursos distribuídos de rede.

A divulgação do Dirty Frag ocorre enquanto mantenedores de distribuições Linux ainda trabalham na distribuição de correções para a Copy Fail, outra falha de escalada de privilégios para root que já estaria sendo explorada ativamente em ataques. A CISA adicionou a Copy Fail ao catálogo Known Exploited Vulnerabilities, conhecido como KEV, e determinou que agências federais dos Estados Unidos protejam seus dispositivos Linux até 15 de maio.

Na ocasião, a agência norte-americana alertou que esse tipo de vulnerabilidade é um vetor frequente usado por hackers e representa riscos significativos para ambientes federais. A recomendação foi aplicar as mitigações conforme orientação dos fornecedores, seguir as diretrizes aplicáveis para serviços em nuvem ou interromper o uso do produto caso não haja mitigação disponível.

O caso também se soma a outra falha corrigida em abril pelas distribuições Linux: a Pack2TheRoot, uma vulnerabilidade de escalada de privilégios encontrada no daemon PackageKit após permanecer cerca de uma década presente no sistema. A sequência de descobertas mostra como bugs antigos em componentes fundamentais do ecossistema Linux ainda podem gerar impacto relevante quando explorados em ambientes modernos.