Due nuove vulnerabilità del kernel Linux stanno facendo parlare di sé nella comunità della sicurezza informatica, e portano un nome piuttosto evocativo: Dirty Frag. A scoprirle è stato il ricercatore Hyunwoo Kim, già noto per aver individuato nei giorni scorsi un altro problema critico chiamato Copy Fail. Stavolta, però, la vicenda ha preso una piega insolita: qualcuno ha violato l’embargo sulla divulgazione, e Kim ha deciso di rendere pubblici tutti i dettagli, incluso il codice sorgente dell’exploit, pubblicandolo direttamente su GitHub.
Cosa sono le vulnerabilità Dirty Frag e come funzionano
Le due falle sono catalogate come CVE-2026-43284 e CVE-2026-43500 e riguardano moduli specifici del kernel: esp4/esp6 e rxrpc. Per chi non mastica il linguaggio tecnico tutti i giorni, vale la pena spiegarlo in modo semplice. I moduli esp4/esp6 gestiscono il supporto per ESP (Encapsulating Security Protocol), che è uno dei pilastri di IPsec, il sistema usato per proteggere le comunicazioni su reti IP. Il modulo rxrpc, invece, si occupa del protocollo RxRPC, impiegato da AFS (Andrew File System), un file system distribuito.
Il meccanismo sfruttato da Dirty Frag ricorda molto quello di Copy Fail: entrambe le vulnerabilità permettono di manipolare la cosiddetta page cache. E questo è un grosso problema, perché un utente che abbia anche solo un account locale su una macchina può, attraverso questo exploit, ottenere privilegi root. Significa, in parole povere, avere il controllo totale del sistema: disattivare le protezioni di sicurezza, rubare credenziali, installare software malevolo. Praticamente, carta bianca.
Quali distribuzioni Linux sono coinvolte
Il quadro è abbastanza preoccupante per estensione. Il ricercatore ha confermato la presenza delle falle in Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 e Fedora 44. Ma il problema non si ferma qui: secondo le analisi, le vulnerabilità sono presenti in quasi tutte le distribuzioni Linux rilasciate negli ultimi nove anni. Nel caso specifico di Ubuntu, si parla di versioni che partono addirittura dalla 14.04 LTS, il che dà un’idea della portata temporale della cosa.
È un dettaglio che fa riflettere: per quasi un decennio, queste falle sono rimaste nascoste nel codice del kernel Linux, pronte per essere sfruttate. E la violazione dell’embargo sulla divulgazione non ha certo aiutato, perché ora le informazioni tecniche per costruire l’exploit sono accessibili a chiunque.
Patch e contromisure disponibili
Sul fronte delle correzioni, la situazione è a metà strada. La patch per la vulnerabilità CVE-2026-43284 è già stata rilasciata, quindi chi amministra sistemi dovrebbe applicarla il prima possibile. Per quanto riguarda la CVE-2026-43500, invece, al momento non esiste ancora una correzione ufficiale. Questo lascia aperta una finestra di rischio che non va sottovalutata.
In attesa che vengano distribuiti gli aggiornamenti per le varie distribuzioni, esiste una soluzione temporanea: disattivare i moduli esp4/esp6 e rxrpc tramite un apposito comando. Bisogna però tenere presente che questa operazione ha un effetto collaterale tutt’altro che trascurabile: IPsec e AFS smetteranno di funzionare. Per ambienti che dipendono da questi protocolli, è una scelta che va valutata con attenzione, bilanciando il rischio di sicurezza con l’impatto operativo.
Kim aveva segnalato entrambe le vulnerabilità alla fine di aprile 2026, con l’intenzione di seguire il normale processo di divulgazione responsabile. La violazione dell’embargo da parte di terzi ha però cambiato le carte in tavola, costringendo a una pubblicazione anticipata di tutti i dettagli relativi a Dirty Frag.
