Die neu entdeckte Privilege-Escalation-Schwachstelle Dirty Frag stellt ein erhebliches Sicherheitsrisiko dar. Der Forscher Hyunwoo Kim offenbarte die Lücke verantwortungsvoll, doch bevor Patches verfügbar waren, machte jemand die technischen Details öffentlich. Kim reagierte darauf, indem er selbst den PoC-Code und vollständige Informationen veröffentlichte.
Die Schwachstelle funktioniert durch das Verketten zweier separater Fehler in den xfrm-ESP (IPsec) und RxRPC-Komponenten des Linux-Kernels. Im Gegensatz zu früheren ähnlichen Lücken wie Dirty Pipe (2022) handelt es sich um einen deterministischen Logic-Bug ohne Race Conditions. Die Erfolgsquote der Ausnutzung ist entsprechend sehr hoch – der Kernel stürzt bei fehlgeschlagenen Exploit-Versuchen nicht ab.
Microsoft beobachtete bereits begrenzte In-the-Wild-Aktivitäten, die auf Ausnutzungen hindeuten könnten. Die dokumentierten Angriffe zeigen ein charakteristisches Muster: Nach Zugriff auf das Zielsystem (etwa via kompromittierte SSH-Konten, Web-Shells oder Service-Account-Missbrauch) manipulieren Angreifer GLPI-LDAP-Authentifizierungsdateien und führen Aufklärung durch. Anschließend greifen sie auf sensible Daten zu und löschen systematisch PHP-Session-Dateien, um sowohl laufende Sitzungen zu unterbrechen als auch deren Inhalte zu erfassen.
Kritisch für deutsche Behörden und Unternehmen: Container-Deployments könnten zusätzlich durch Escape-Angriffe gefährdet sein, auch wenn dies noch nicht praktisch demonstriert wurde. Ubuntu-Entwickler warnen, dass die Bedrohung besonders für Non-Container-Hosts erheblich ist.
Major Linux-Distributoren handeln bereits: Red Hat, Amazon Linux, Ubuntu, Fedora und Alma Linux haben Patches und Mitigationen freigegeben. Das BSI wird voraussichtlich zeitnah eine Sicherheitsmitteilung herausgeben. Administratoren sollten ihre Linux-Systeme priorisiert patchen, insbesondere wenn diese Zugriff auf sensitive Daten oder kritische Infrastruktur verwalten.