È stata pubblicata una dimostrazione di fattibilità della vulnerabilità. DirtyDecrypt, conosciuto anche come DirtyCBC, consentendo a un utente locale non privilegiato di ottenere i privilegi di root su alcuni sistemi LinuxIl problema risiede nel codice. rxgk sottosistemi RxRPC ed è correlato a una scrittura nella cache di pagina dovuta a un controllo copy-on-write mancante nella funzione rxgk_decrypt_skb(). Il PoC è stato pubblicato il 18 maggio 2026 da BleepingComputer; il PoC stesso è pubblicato in Repository del team V12.
RxRPC è un protocollo di rete del kernel. Linux tramite UDP, fornendo un trasporto affidabile per le operazioni remote. La documentazione del kernel afferma specificamente che AFS — Andrew File System è un esempio di applicazione che utilizza RxRPC, e il protocollo stesso supporta la negoziazione della sicurezza della connessione. È qui che entra in gioco RxGK, utilizzato per la modalità sicura di RxRPC/AFS.
Secondo la descrizione V12, DirtyDecrypt è un'altra variante della classe di vulnerabilità CopyFail / Dirty Frag / FragnesiaTutti questi attacchi ruotano attorno a un'idea simile: una manipolazione errata della memoria del kernel, della cache di pagina e dei buffer può consentire a un processo locale non privilegiato di modificare dati che dovrebbero essere inscrivibili. Nel caso di DirtyDecrypt, si tratta di una "scrittura nella cache di pagina di rxgk" dovuta alla mancanza della protezione COW in rxgk_decrypt_skb().
Il team V12 afferma di aver scoperto e segnalato il problema. anni 9 maggio 2026ma i manutentori del kernel hanno risposto che si trattava di una duplicazione di un bug già corretto. I ricercatori hanno quindi pubblicato una prova di concetto, sostenendo che la correzione era già presente nel kernel principale.
La situazione con i CVE non sembra del tutto semplice. BleepingComputer riferisce che al momento della pubblicazione non esiste un CVE ufficiale separato per il nome DirtyDecrypt, ma l'analista Will Dormann collega i dettagli pubblicati da V12 a CVE-2026-31635, corretto alla fine di aprile. NVD descrive CVE-2026-31635 come un errore in rxrpc: la funzione rxgk_verify_response() controllava in modo errato la lunghezza dell'autenticatore RESPONSE, il che poteva comportare il passaggio di un autenticatore eccessivamente lungo a rxgk_decrypt_skb() e causare l'errore BUG_ON(len) del codice.
Cioè, le pubblicazioni disponibili pubblicamente collegano DirtyDecrypt a CVE-2026-31635, ma la descrizione formale della CVE in NVD attualmente appare più ristretta e si riferisce principalmente a un errore di controllo della lunghezza in rxrpc, piuttosto che direttamente all'alias DirtyDecrypt/DirtyCBC come voce separata. Pertanto, è più corretto scrivere: DirtyDecrypt è probabilmente coerente con o strettamente correlato a CVE-2026-31635, piuttosto che affermare che si tratti del nome ufficiale CVE.
Per il corretto funzionamento è necessario un kernel con questa opzione abilitata. CONFIG_RXGK, che include il supporto RxGK per il client AFS e il trasporto di rete. Ciò restringe significativamente la gamma di sistemi interessati: riguarda principalmente le distribuzioni che seguono rapidamente il kernel upstream, tra cui Fedora, Arco Linux и openSUSE TumbleweedBleepingComputer sottolinea che la PoC V12 pubblicata è stata testata solo su Fedora e sul kernel principale.
DirtyDecrypt è emerso sullo sfondo di un'intera serie di prodotti simili Linux Vulnerabilità LPE. Precedentemente divulgate Errore di copia in algif_aead, Profumo sporco nei componenti di rete e poi Fragnesia in XFRM ESP-in-TCP Microsoft descritto Dirty Frag è una vulnerabilità che consente l'escalation dei privilegi locali attraverso i componenti esp4, esp6 e rxrpc, permettendo a un utente malintenzionato di ottenere l'accesso locale e di stabilire una posizione all'interno del sistema.
Il pericolo pratico di tali errori risiede nel fatto che spesso vengono sfruttati dopo la violazione iniziale: ad esempio, dopo aver compromesso un account SSH, una web shell, un container vulnerabile o un utente di servizio con privilegi limitati. Avendo ottenuto l'accesso root, un attaccante può disabilitare i controlli di sicurezza, leggere i segreti, modificare i log, implementare la persistenza e avanzare ulteriormente all'interno dell'infrastruttura.
Si consiglia agli utenti delle distribuzioni rolling release potenzialmente interessate di installare gli ultimi aggiornamenti del kernel. Per i sistemi in cui non è possibile effettuare aggiornamenti immediati, le pubblicazioni menzionano soluzioni temporanee come la disabilitazione dei moduli rxrpc non utilizzati e dei componenti correlati. Tuttavia, tali soluzioni alternative potrebbero compromettere AFS e alcuni scenari IPsec/VPN, pertanto dovrebbero essere applicate solo dopo aver verificato l'impatto su un sistema specifico.
Per la maggior parte delle installazioni desktop e server, il rischio è probabilmente inferiore a Errore di copia: DirtyDecrypt richiede una configurazione del kernel specifica e l'esecuzione di codice locale. Tuttavia, per Fedora, Arch LinuxPer quanto riguarda openSUSE Tumbleweed e altri sistemi con aggiornamenti rapidi del kernel, il problema merita attenzione: non si tratta più di una segnalazione teorica, ma di una vulnerabilità con una prova di concetto pubblicata e un chiaro percorso per l'escalation dei privilegi.
Fonte: linux.org.ru
