Die Schwachstelle trägt die Bezeichnung “Dirty Frag” und kombiniert zwei separate Kernel-Fehler: die xfrm-ESP Page-Cache Write-Schwachstelle und die RxRPC Page-Cache Write-Schwachstelle. Diese sind unter den CVE-Nummern CVE-2026-43284 und CVE-2026-43500 registriert, denen Red Hat jeweils einen CVSS-Score von 7,8 und die Schweregradbewertung “Wichtig” zugewiesen hat.
Was macht Dirty Frag besonders gefährlich? Im Gegensatz zu verwandten Schwachstellen wie Dirty Pipe oder Copy Fail ist Dirty Frag ein deterministischer Logik-Bug, der keine Race Conditions erfordert und eine extrem hohe Erfolgsquote hat. Der Kernel stürzt auch bei fehlgeschlagenen Exploit-Versuchen nicht ab, was Angreifern maximale Diskretion bietet. Kim hat den Exploit erfolgreich auf Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 und Fedora 44 getestet.
Die Schwachstelle nutzt Fehler in der Handhabung des Linux-Kernel-Page-Cache aus. Der Kernel speichert Dateiinhalte im RAM zwecks Geschwindigkeit, und bestimmte Subsysteme führen “in-place” kryptographische oder Netzwerk-Operationen auf diesen Speicherseiten durch. Angreifer können diese Page-Cache-Operationen missbrauchen, um geschützte Systemdaten zu modifizieren und Root-Privilegien zu erlangen.
Die IPsec-ESP-Komponente ist besonders kritisch, da IPsec verschlüsselte Netzwerkkommunikation bereitstellt und häufig für VPNs und Site-to-Site-Tunnel verwendet wird. Das RxRPC-Modul implementiert das RxRPC-Protokoll, das dem Andrew File System (AFS) zugrunde liegt.
Microsoft Defender hat bereits begrenzte Exploit-Aktivitäten im Freien beobachtet, wobei unklar ist, ob Angreifer bereits Dirty Frag oder ältere Copy-Fail-Exploits nutzten. Das ist ein Zeichen für erhöhte Aufmerksamkeit durch Cyberkriminelle.
Patch-Status und Mitigationen: Die Linux Kernel Organization hat Patches für CVE-2026-43284 bereits veröffentlicht. Patches für CVE-2026-43500 sind noch nicht verfügbar. Red Hat, Canonical und SUSE arbeiten fieberhaft an Kernel-Updates und Livepatch-Lösungen. Für Unternehmen empfehlen Microsoft und Red Hat sofortige Maßnahmen: Deaktivierung ungenutzter rxrpc-Module, temporäres Deaktivieren von IPsec-Funktionalität (wo operativ möglich), Einschränkung lokaler Shell-Zugriffe, Hardening von Containerized Workloads und verstärkte Überwachung verdächtiger Privilege-Escalation-Aktivitäten. Zusätzlich sollten SELinux im Enforcing-Modus aktiviert und Workloads als Non-Root ausgeführt werden. Allerdings unterstreicht Red Hat, dass keine einzelne Maßnahme alle Angriffsvektoren vollständig eliminiert — schnelle Kernel-Patches sind unerlässlich.