Основы Интернет - технологий.

Исследователи опубликовали PoC-эксплоит для новой уязвимости повышения привилегий в ядре Linux. Баг, получивший название DirtyDecrypt (он же DirtyCBC), позволяет локальному атакующему получить root-права в уязвимых системах. Уязвимость DirtyDecrypt независимо друг от друга обнаружили команды Zellic и Delphos Labs, но когда исследователи отправили отчет разработчикам ядра, выяснилось, что баг уже успели исправить в mainline-ветке Linux еще в апреле 2026 года. Судя по данным NVD, речь идет об уязвимости CVE-2026-31635 (7,5 балла по шкале CVSS). Корень проблемы кроется в подсистеме RxGK, связанной с протоколом RxRPC и файловыми системами AFS/OpenAFS. Исследователи объясняют, что в функции rxgk_decrypt_skb() отсутствует защита copy-on-write (COW). В нормальной ситуации Linux создает приватную копию страницы памяти перед записью в разделяемую область. Однако в этом случае такой проверки нет. В результате атакующий получает возможность записывать данные в память привилегированных процессов или напрямую в кеш страниц защищенных файлов (например, /etc/shadow, /etc/sudoers и SUID-бинарники). Это позволяет локально повысить привилегии до уровня root. Уязвимость DirtyDecrypt затрагивает только системы с включенным параметром CONFIG_RXGK, который включает поддержку RxGK для клиента и сетевого транспорта файловой системы Andrew File System (AFS). То есть в первую очередь речь идет о Fedora, Arch Linux и openSUSE Tumbleweed. Новая уязвимость пополнила серию похожих проблем, обнаруженных за последние недели. Так, в конце апреля сначала стало известно о проблеме CopyFail, позволявшей модифицировать in-memory-копии SUID-бинарников. Затем появилась информация об уязвимости Dirty Frag — комбинации двух проблем ядра, тоже ведущей к получению root-доступа. После этого специалисты рассказали о баге Fragnesia, затрагивающем XFRM ESP-in-TCP и позволяющем перезаписывать системные файлы. Следует отметить, что уязвимости уже начали применяться в реальных атаках. Например, в начале мая специалисты CISA добавили уязвимость CopyFail в каталог активно эксплуатируемых багов и потребовали от американских федеральных ведомств устранить проблему до 15 мая. На фоне этой череды проблем разработчики ядра обсуждают более радикальные меры защиты. К примеру, в Linux предложили механизм аварийного отключения (killswitch), который позволит администраторам временно отключать уязвимые функции ядра прямо во время работы системы, до выхода полноценного патча. Тем временем разработчики Rocky Linux и вовсе запустили отдельный репозиторий для ускоренной доставки экстренных исправлений в случаях, когда PoC-эксплоит уже доступен в сети, но официальные патчи для основных веткок ядра еще не готовы.