Dirty Frag: een nieuwe Linux-kwetsbaarheid terwijl de vorige nog niet is gedicht

Weken na Copy Fail is er opnieuw een ernstige kwetsbaarheid in Linux gepubliceerd. Dirty Frag werkt op een andere manier dan de vorige, waardoor eerdere tijdelijke maatregelen geen bescherming bieden. Er is nog geen definitieve patch beschikbaar.

Begin mei schreven we over Copy Fail, een kwetsbaarheid in Linux die bijna negen jaar onopgemerkt bleef en inmiddels actief wordt misbruikt. Vorige week werd Dirty Frag gepubliceerd: een nieuwe kwetsbaarheid in hetzelfde besturingssysteem, door dezelfde onderzoeker ontdekt, met een vergelijkbare impact maar via een andere aanvalsmethode.

Het onderscheid is relevant, want organisaties die de tijdelijke maatregel voor Copy Fail hebben doorgevoerd, zijn met die maatregel niet beschermd tegen Dirty Frag.

Wat er aan de hand is

Dirty Frag maakt het mogelijk dat iemand met beperkte toegang tot een Linux-systeem zichzelf volledige beheerdersrechten geeft. Net als bij Copy Fail gaat het om een aanval die alleen in het geheugen plaatsvindt, nauwelijks sporen achterlaat en consistent werkt, zonder dat er sprake is van geluk of timing.

De kwetsbaarheid combineert twee fouten in de Linux-kernel die samen een aanval mogelijk maken. De oudste van die twee bestaat al sinds 2017, de tweede sinds 2023. Vrijwel alle grote Linux-varianten zijn kwetsbaar: Ubuntu, Red Hat, CentOS, AlmaLinux, openSUSE en Fedora zijn bevestigd getroffen.

Wat de situatie extra urgent maakt: de aanvalscode is publiek beschikbaar voordat er een definitieve patch is. De embargo op volledige publicatie werd op 7 mei doorbroken door een derde partij, waarna de onderzoeker in overleg met de beheerders besloot de technische details alsnog te publiceren. Op het moment van schrijven zijn er voor de meeste distributies nog geen definitieve kernelpatches uitgebracht.

Aanwezig sinds
2017		Gepatched?
Nog niet (overal)		Exploit publiek?
Ja		Actief misbruik?
Ja

Belangrijk: de maatregel voor Copy Fail helpt hier niet

In onze vorige blogpost adviseerden we een specifieke tijdelijke maatregel voor Copy Fail: het uitschakelen van de algif_aead kernelmodule. Die maatregel is nog steeds relevant voor Copy Fail, maar biedt geen bescherming tegen Dirty Frag. De twee kwetsbaarheden werken via andere onderdelen van de kernel.

Organisaties die die stap al hebben gezet, zijn dus nog steeds kwetsbaar voor deze nieuwe aanval. Dat vraagt om aanvullende actie.

Wat nu te doen

Zolang er geen definitieve patch beschikbaar is, zijn er tijdelijke maatregelen die de aanvalsoppervlakte verkleinen. Vraag je systeembeheerder of IT-leverancier de volgende stappen door te voeren:

  • Stap 1: Schakel de kwetsbare kernelmodules uit
    Dirty Frag maakt gebruik van specifieke netwerkonderdelen in de Linux-kernel. Die onderdelen kunnen worden uitgeschakeld. Voor de meeste organisaties heeft dit geen merkbare impact op de dagelijkse werking van systemen. Voer daarna ook een geheugencache-reset uit om eventuele sporen te wissen.

    Schakel de modules uit en reset de geheugencache:
    sudo printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf
    rmmod esp4 esp6 rxrpc 2>/dev/null
    echo 3 > /proc/sys/vm/drop_caches
  • Stap 2: Controleer of systemen mogelijk al zijn aangetast
    Microsoft heeft gesignaleerd dat er al beperkt actief misbruik plaatsvindt, waarbij aanvallers na toegang via SSH onmiddellijk proberen hogere rechten te verkrijgen. Als je twijfelt of systemen al zijn blootgesteld, is forensisch onderzoek verstandig voordat je alleen de tijdelijke maatregel toepast. Een mitigatie wist namelijk geen sporen van een aanval die al heeft plaatsgevonden.
  • Stap 3: Houd de patchstatus actief in de gaten
    Distributies werken aan kernelpatches. Zodra die beschikbaar zijn voor jouw omgeving, moeten ze zo snel mogelijk worden doorgevoerd. De tijdelijke maatregel vervangt de definitieve patch niet.
  • Stap 4: Vergeet de cloud niet
    Ook in cloudplatforms en containeromgevingen kan Dirty Frag worden misbruikt, afhankelijk van de configuratie. Controleer of de tijdelijke maatregel ook in die omgevingen is doorgevoerd en of je provider aanvullende guidance heeft gepubliceerd.

Wat dit zegt over de bredere situatie

Copy Fail en Dirty Frag zijn geen toevallige samenloop. Ze zijn onderdeel van een bredere klasse van kwetsbaarheden in Linux die de afgelopen jaren zijn ontdekt, waaronder Dirty Cow in 2016 en Dirty Pipe in 2022. Dezelfde onderzoeker die Copy Fail vond, ontdekte Dirty Frag juist doordat hij de eerste kwetsbaarheid zo grondig onderzocht.

Dat patroon is veelzeggend: wie een kwetsbaarheid vindt, vindt er vaak meer. En de beschikbaarheid van AI-tools versnelt dat proces. De tijd tussen het vinden van een fout en het publiceren van werkende aanvalscode wordt korter. Voor organisaties betekent dat een structurele druk op patchprocessen die niet zijn ingericht op snelheid.

De vraag is niet meer of er nieuwe kwetsbaarheden komen. De vraag is of jouw organisatie snel genoeg kan reageren als ze er zijn.

Wat RiskGuard hierin doet

RiskGuard helpt organisaties grip te houden op kwetsbaarheden zoals Copy Fail en Dirty Frag. We beoordelen of tijdelijke maatregelen correct zijn doorgevoerd, ondersteunen bij het inrichten van een patchproces dat aansluit op de huidige snelheid van dreigingen, en helpen bij het bepalen of systemen mogelijk al zijn aangetast.

Wil je weten of jouw omgeving kwetsbaar is of hoe jullie patchproces er voor staat? Neem contact op voor een vrijblijvend gesprek.

Lees verder:

121606

Copy Fail: een Linux-kwetsbaarheid die al negen jaar onopgemerkt was en nu directe actie vraagt

Een plaatje van een hamer op een boek

Cyberbeveiligingswet en WWKE aangenomen door Tweede Kamer: wat betekent dit voor jouw organisatie?

Een wachtwoord verstopt in code

Kwaadaardige code die je niet kunt zien: hoe aanvallers Unicode misbruiken in open source repositories