Dirty Frag: segunda falha crítica no kernel Linux em duas semanas permite escalar privilégios até root e escapar de contêineres

Duas brechas, um exploit determinístico

A comunidade de segurança encerrou a primeira semana de junho de 2026 diante de mais um alerta crítico para o kernel Linux. Um par de vulnerabilidades rastreadas como CVE-2026-43284 e CVE-2026-43500, coletivamente batizadas de Dirty Frag pelo pesquisador que as descobriu, permite que qualquer conta de baixo privilégio alcance permissões de administrador (root) e, nos cenários mais graves, escape do isolamento de contêineres. A marca é mais pesada pelo contexto: trata-se da segunda falha de severidade crítica divulgada no kernel em menos de duas semanas, consolidando um ciclo de vulnerabilidades sérias que vem preocupando equipes de segurança em todo o mundo.

Como o encadeamento funciona

Nenhuma das duas falhas opera de forma isolada — é justamente a combinação que torna o ataque funcional. A CVE-2026-43284 reside no subsistema ESP (Encapsulating Security Payload) do IPsec, cujo código problemático existe no kernel desde aproximadamente 2017. A CVE-2026-43500 está no subsistema RxRPC, introduzido de forma mais recente, por volta de 2023. Ambas exploram a mesma classe de primitiva: a possibilidade de escrever em regiões de page-cache do kernel que não são de controle exclusivo do sistema operacional, corrompendo arquivos sensíveis de maneira controlada. Ao encadear as duas superfícies de ataque via caminhos relacionados à chamada de sistema splice(), o exploit se torna determinístico — eliminando a necessidade de explorar condições de corrida, à semelhança de vulnerabilidades anteriores de alto impacto como Dirty Pipe. O pesquisador Hyunwoo Kim, conhecido como @v4bel, descobriu a cadeia de ataque e publicou a prova de conceito em 8 de maio de 2026.

Escalada de privilégios e fuga de contêineres

O impacto prático é duplo. Em sistemas convencionais, um usuário autenticado com acesso local pode elevar suas permissões até root sem qualquer interação adicional. Em infraestruturas baseadas em contêineres — Kubernetes, OpenShift e derivados —, a vulnerabilidade abre caminho para que um processo confinado ultrapasse os limites do isolamento e comprometa o host subjacente. O nível de risco em ambientes cloud é, portanto, amplificado: uma conta de serviço com privilégios mínimos dentro de um pod pode se tornar o ponto de partida para movimentação lateral em toda a infraestrutura. Vale registrar que perfis seccomp endurecidos e a exigência de CAP_NET_ADMIN elevam ligeiramente a barra de exploração em clusters Kubernetes bem configurados — mas não eliminam o risco em implantações padrão.

Exploração ativa confirmada pela Microsoft

O Microsoft Security Blog documentou, em 8 de maio de 2026, atividade maliciosa em produção atribuída ao Dirty Frag. Os ataques observados seguem um padrão repetível: acesso inicial por SSH comprometido ou web shell, execução de binário ELF que dispara a escalada via su, seguida de modificação de arquivos de autenticação LDAP, reconhecimento de sistema e exfiltração de dados de sessão. A cadeia de pós-exploração foi detectada em ambientes Ubuntu, RHEL, CentOS Stream, AlmaLinux e OpenShift, confirmando que a superfície de risco não está restrita a uma única distribuição.

Uma série que não para de crescer

O Dirty Frag não surge no vácuo. Nos últimos meses, o kernel Linux acumulou ao menos três vulnerabilidades críticas: Copy Fail (CVE-2026-31431), o próprio Dirty Frag (CVE-2026-43284 + CVE-2026-43500) e ssh-keysign-pwn (CVE-2026-46333). O padrão sugere que pesquisadores estão dedicando atenção renovada a subsistemas de rede e criptografia do kernel, áreas historicamente menos auditadas do que o gerenciamento de memória convencional. Para times de segurança, o recado é direto: o risco no kernel Linux não é episódico — é estrutural e contínuo.

O que fazer agora

Patches já estão disponíveis. A Canonical publicou atualizações para todas as versões com suporte do Ubuntu, do Trusty Tahr (14.04 LTS) ao Resolute Raccoon (26.04 LTS), cobrindo os módulos esp4, esp6 e rxrpc. Red Hat Enterprise Linux, AlmaLinux e distribuições derivadas também disponibilizaram correções via canais oficiais. A recomendação unânime dos fornecedores é aplicar as atualizações do kernel image package imediatamente, sem aguardar janelas de manutenção programadas. Em ambientes onde o reinício imediato seja inviável, isolar interfaces de rede que exponham os subsistemas ESP/IPsec e revisar políticas CAP_NET_ADMIN são medidas paliativas enquanto o patch é aplicado. A janela de oportunidade para atacantes está aberta — a exploração ativa já foi confirmada, e o código de prova de conceito é público há quase um mês.

Fonte original: CISO Advisor — Dirty Frag é 2ª falha crítica no Linux em duas semanas. Informações técnicas adicionais: Wiz.io, Ubuntu Security Blog e Microsoft Security Blog.