Dirty Frag: falha no kernel Linux dá root em produção

Uma vulnerabilidade de escalação de privilégios no kernel Linux, apelidada de “Dirty Frag”, permite que um utilizador sem privilégios obtenha acesso root em sistemas afetados. A Microsoft confirmou exploração ativa em ambientes de produção e classificou o risco como alto para servidores cloud e containers.

A falha explora o tratamento de fragmentação de memória nos componentes de rede esp4, esp6 (CVE-2026-43284) e rxrpc (CVE-2026-43500). Diferente de técnicas tradicionais de race condition, o exploit do Dirty Frag oferece escalação de privilégios mais confiável e repetível, o que aumenta seu valor para atacantes que já obtiveram acesso inicial ao sistema.

## Como funciona o exploit

O atacante precisa de acesso inicial — via SSH, web shell, container escape ou conta com privilégios baixos. A partir daí, a vulnerabilidade manipula o comportamento do page cache do Linux para escalar para root. Sistemas Ubuntu, RHEL, CentOS Stream e AlmaLinux estão entre os afetados.

A Microsoft identificou que o exploit funciona como ferramenta de pós-comprometimento: o atacante já está dentro da rede e usa o Dirty Frag para obter controle total do host. Em ambientes de containers, isso pode significar escape para o host subjacente.

## O que fazer agora

As distribuições Linux já lançaram patches para os kernels afetados. A atualização deve ser priorizada em servidores expostos a acesso SSH, máquinas que executam containers e sistemas com múltiplos utilizadores.

A Microsoft recomenda verificar a integridade do sistema após a aplicação do patch, já que a exploração pode ter ocorrido antes da correção. Logs de escalação de privilégios inesperada e processos rodando como root sem justificativa devem ser investigados.

Fontes:

• Microsoft Security Blog — Active attack: Dirty Frag Linux vulnerability (8 Mai 2026)
• Step Security — CVE-2026-22709: Critical Sandbox Escape in vm2
• BleepingComputer — Critical vm2 sandbox bug