Cette vulnérabilité touche un large éventail de distributions Linux, d’Ubuntu et Fedora à Red Hat Enterprise Linux et openSUSE. Les serveurs, les environnements cloud et les conteneurs sont particulièrement exposés. Selon les chercheurs en sécurité, cette faille fait déjà l’objet d’attaques actives. C’est le chercheur en sécurité V4bel qui a été le premier à mettre en lumière ce problème.
Dirty Frag : prise
de contrôle totale
Dirty Frag exploite des failles dans des composants du noyau Linux chargés de traiter le trafic réseau et l’authentification. Un pirate disposant déjà d’un accès limité à un système (par exemple via un compte piraté, un serveur web vulnérable ou un conteneur compromis) peut utiliser cette faille pour s’octroyer des droits root. Concrètement, cela permet à un attaquant de prendre le contrôle total du système. Ce qui rend Dirty Frag particulièrement dangereux, c’est qu’il ne s’agit pas d’une attaque classique de type « race condition » nécessitant un timing parfait. L’exploit fonctionne de manière beaucoup plus stable et ne laisse pratiquement aucune trace en cas d’échec de l’attaque.
Les chercheurs comparent déjà Dirty Frag à d’anciennes failles graves de Linux telles que Dirty Pipe et Copy Fail. Ici aussi, tout repose sur la manipulation de données qui devraient normalement être en lecture seule. Dans ce cas, les attaquants ciblent les tampons réseau dans la mémoire du noyau pour modifier des fichiers système sans les modifier effectivement sur le disque. Cela rend la détection particulièrement difficile. Un système peut être compromis sans que les fichiers journaux ou les logiciels de sécurité ne remarquent quoi que ce soit de suspect.
Les solutions temporaires ont un impact
considérable
Les développeurs Linux travaillent d’arrache-pied sur des correctifs, mais ceux-ci ne sont pas encore disponibles partout. Pour l’un des composants concernés, un premier correctif existe déjà dans la version principale du noyau Linux, mais d’autres aspects de la vulnérabilité sont encore à l’étude. En attendant, les distributeurs Linux recommandent de désactiver temporairement certains modules du noyau. Il s’agit notamment d’esp4, esp6 et rxrpc, des composants utilisés pour des fonctions telles que les VPN IPsec et certains services réseau.
Ce n’est toutefois pas une solution idéale. Ceux qui désactivent ces modules peuvent rencontrer des problèmes avec les connexions VPN, les applications cloud ou les systèmes basés sur AFS. Cela peut entraîner de graves perturbations, en particulier dans les environnements d’entreprise. Canonical, la société à l’origine d’Ubuntu, prévient en outre que Dirty Frag pourrait également être utilisé pour s’échapper de conteneurs. Ce scénario est considéré comme l’un des pires cauchemars en matière de sécurité des serveurs et du cloud, car un seul conteneur infecté peut alors mettre en danger l’ensemble d’un système.
Il est donc conseillé aux administrateurs de mettre à jour leurs systèmes dès que des correctifs de sécurité sont disponibles. D’ici là, la vigilance reste cruciale, en particulier sur les serveurs sur lesquels plusieurs utilisateurs ou charges de travail externes sont actifs.
