Пользователи Linux столкнулись с еще одной уязвимостью, которая позволяет контейнерам и непривилегированным пользователям получить доступ к корневому каталогу, что является вторым случаем за две недели, когда серьезная угроза застигла защитников врасплох.

Немедленная и значительная угроза

Эта уязвимость, известная как Dirty Frag, позволяет пользователям с низкими привилегиями, включая тех, кто использует виртуальные машины, получить корневой доступ к серверам. Атаки особенно эффективны в общих средах, где сервер используется несколькими сторонами. Хакеры также могут получить корневой доступ, если у них есть доступ к отдельному эксплойту, который дает им возможность проникнуть в машину.

Эксплойт был слит в интернет три дня назад и работает надежно на практически всех дистрибутивах Linux. Microsoft сообщила, что обнаружила признаки того, что хакеры экспериментируют с Dirty Frag в дикой природе.

Утечка эксплойта детерминирована, то есть он работает точно одинаково каждый раз, когда его запускают, и на разных дистрибутивах Linux. Он не вызывает крахов, что делает его незаметным для запуска. Уязвимость, известная как Copy Fail, раскрытая на прошлой неделе без доступных патчей для конечных пользователей, обладает теми же характеристиками.

«Уязвимость «Dirty Frag» представляет собой немедленную и значительную угрозу для систем Linux, поскольку она позволяет неавторизованным пользователям получить корневой доступ, эксплуатируя неисправленные ошибки ядра», - написали исследователи из компании Aviatrix в понедельник. «С учетом наличия концептуальных эксплойтов, доступных публично, и признаков ограниченного внедрения в дикой природе, организации должны действовать быстро, чтобы применить патчи и реализовать меры по защите своих систем от потенциального компрометации».

Dirty Frag была обнаружена и раскрыта исследователем Хюнвуном Кимом на прошлой неделе. Эксплойт объединяет код для эксплуатации двух уязвимостей - отслеживаемых как CVE-2026-43284 и CVE-2026-43500. Вскоре после раскрытия кто-то другой слил ключевые детали, эффективно сделав уязвимость нулевым днем. После этого Ким опубликовал исходный код концептуального эксплойта, который он разработал.

В момент публикации этого поста несколько дистрибьюторов выпустили патчи. Известные дистрибьюторы включали Debian, AlmaLinux и Fedora. Люди, интересующиеся другими дистрибутивами, должны проверить информацию у официального поставщика.

Linux users have been bitten by yet another vulnerability that gives containers and untrusted users the ability to gain root access, marking the second time in as many weeks that a severe threat has caught defenders off guard.

The threat, known as Dirty Frag, allows low-privilege users, including those using virtual machines, to gain root control of servers. Attacks are particularly suitable in shared environments, where a server is used by multiple parties. Hackers can also gain root as long as they have access to a separate exploit that gives a toehold into a machine. Exploit code was leaked online three days ago and works reliably across virtually all Linux distributions. Microsoft hassaidit has spotted signs that hackers are experimenting with Dirty Frag in the wild.

Immediate and significant threat

The leaked exploit is deterministic, meaning it works precisely the same way each time it’s run and across different Linux distributions. It causes no crashes, making it stealthy to run. A vulnerability known as Copy Fail, disclosedlast weekwith no patches available to end users, possesses the same characteristics.

“The ‘Dirty Frag’ vulnerability presents an immediate and significant threat to Linux systems, as it allows unauthorized users to gain root access by exploiting unpatched kernel flaws,” researchers from security firm Aviatrixwrote Monday. “With proof-of-concept exploits publicly available and signs of limited in-the-wild exploitation, organizations must act swiftly to apply patches and implement mitigations to protect their systems from potential compromise.”

Dirty Frag was discovered anddisclosedlate last week by researcher Hyunwoo Kim. The exploit chains together code for exploiting two vulnerabilities—tracked as CVE-2026-43284 and CVE-2026-43500. Shortly after the disclosure, someone else leaked key details, effectively making the vulnerability a zero-day. With that, Kimpublishedthe source code for the proof-of-concept exploit he had developed. Whilebothvulnerabilitieswere patched in the Linux kernel, none of the distributions had incorporated the fix.

At the time this post went live, several distributors had released patches. Known distributors includedDebian,AlmaLinux, andFedora. People who are interested in other distributions should check with the official provider.