Výskumníci varujú, že novozverejnená chyba jadra môže byť zneužitá proti moderným Linux systémom
Novo zverejnená zraniteľnosť umožňujúca eskaláciu privilégií v Linuxe, prezývaná „DirtyDecrypt“, vyvoláva naliehavú pozornosť v komunite kybernetickej bezpečnosti po tom, čo výskumníci zverejnili proof-of-concept exploit schopný získať root prístup na zraniteľných systémoch používajúcich novšie linuxové jadrá.
Chyba, ktorá ovplyvňuje RxGK subsystém linuxového jadra používaný systémom Andrew File System (AFS), rozširuje rastúcu vlnu vysoko závažných lokálnych zraniteľností Linuxu umožňujúcich eskaláciu privilégií, ktoré boli objavené v roku 2026. Hoci je útočná plocha relatívne obmedzená, objavenie sa verejne dostupného exploitačného kódu výrazne zvyšuje riziko reálnych útokov, najmä proti vývojárskym pracovným staniciam, cloudovým prostrediam a enterprise Linux nasadeniam sledujúcim najnovšie verzie jadra.
Zraniteľnosť — výskumníkmi označovaná aj ako „DirtyCBC“ — vyplýva z problému spracovania pamäte vo funkcii rxgk_decrypt_skb, kde chýbajúca ochrana copy-on-write (COW) umožňuje za určitých podmienok poškodenie page cache. Útočníci s lokálnym prístupom môžu zneužiť túto chybu na prepísanie privilegovaných oblastí pamäte a zvýšenie oprávnení na úroveň root.
Zraniteľnosť bola nezávisle objavená viacerými výskumníkmi
Problém bol začiatkom tohto mesiaca nezávisle objavený bezpečnostným výskumným tímom V12, ktorý uviedol, že maintainers ich informovali, že zraniteľnosť už bola identifikovaná a opravená upstream ešte pred spracovaním ich reportu.
„Našli a nahlásili sme to 9. mája 2026, ale maintainers nás informovali, že ide o duplicitu,“ uviedli výskumníci v technickom advisori sprevádzajúcom vydanie exploitu. „Ide o rxgk pagecache write spôsobený chýbajúcou COW ochranou vo funkcii rxgk_decrypt_skb.“
Hoci zatiaľ nebolo formálne pridelené oficiálne CVE identifikačné číslo pre DirtyDecrypt, viacerí výskumníci sa domnievajú, že zraniteľnosť úzko zodpovedá CVE-2026-31635, chybe linuxového jadra, ktorá bola nenápadne opravená v upstream jadre 25. apríla.
Podľa Will Dormann technické indikátory zverejnené tímom V12 silno naznačujú, že obe zraniteľnosti súvisia s tým istým základným problémom.
Zverejnenie exploitačného kódu zvýšilo obavy, pretože lokálne zraniteľnosti Linuxu umožňujúce eskaláciu privilégií bývajú často reťazené s exploitmi prehliadačov, únikmi z kontajnerov alebo kompromitovanými účtami s nízkymi oprávneniami v rámci širších útočných kampaní.
Hoci DirtyDecrypt nemožno samostatne zneužiť vzdialene, bezpečnostní analytici upozorňujú, že moderné útoky často začínajú obmedzeným footholdom získaným prostredníctvom phishingu, vystavených aplikácií, ukradnutých prihlasovacích údajov alebo zraniteľných vývojárskych nástrojov.
Ktoré Linux systémy sú potenciálne zraniteľné?
Zraniteľnosť konkrétne ovplyvňuje systémy používajúce linuxové jadrá skompilované s povolenou voľbou CONFIG_RXGK. Táto konfigurácia aktivuje bezpečnostnú podporu RxGK pre klienta Andrew File System a sieťovú transportnú vrstvu, funkciu, ktorá nie je univerzálne povolená vo všetkých linuxových distribúciách.
Výsledkom je, že vystavenie riziku sa zdá byť koncentrované medzi distribúciami, ktoré úzko sledujú upstream vývoj jadra, vrátane:
- Fedora
- Arch Linux
- openSUSE Tumbleweed
Doteraz bol verejne zverejnený proof-of-concept exploit validovaný predovšetkým proti systémom Fedora a neupraveným upstream linuxovým jadram.
Napriek užšej útočnej ploche v porovnaní s predchádzajúcimi zraniteľnosťami Linuxu umožňujúcimi eskaláciu privilégií pokročilí útočníci často cielia na moderné rolling-release distribúcie, pretože ich bežne používajú vývojári, infraštruktúrni inžinieri a bezpečnostné tímy s vyššími oprávneniami a prístupom k citlivým prostrediam.
DirtyDecrypt sa pripája k rastúcemu zoznamu linuxových „Dirty“ zraniteľností
DirtyDecrypt je pozoruhodný aj tým, že patrí do rovnakej širšej rodiny zraniteľností ako niekoľko nedávno zverejnených chýb linuxového jadra umožňujúcich eskaláciu privilégií, vrátane Dirty Frag, Fragnesia a Copy Fail — všetky zneužívali jemné slabiny v správe pamäte alebo spracovaní page cache na dosiahnutie svojvoľných zápisov na úrovni jadra alebo neoprávnenej modifikácie pamäte.
Opakovanie týchto zraniteľností obnovilo zvýšenú pozornosť voči bezpečnosti správy pamäte v linuxovom jadre, najmä v subsystémoch spracovávajúcich kryptografické operácie, sieťovanie a synchronizáciu page cache.
Mnohé z nedávnych chýb zneužívajú hraničné prípady súvisiace s ochranou copy-on-write, počítaním referencií alebo race conditions, ktoré je ťažké odhaliť počas štandardných procesov kontroly zdrojového kódu.
Odborníkov na kybernetickú bezpečnosť obzvlášť znepokojuje fakt, že útočníci už začali aktívne zneužívať aspoň jednu z týchto súvisiacich zraniteľností.
Začiatkom tohto mesiaca Cybersecurity and Infrastructure Security Agency pridala zraniteľnosť Copy Fail do svojho katalógu Known Exploited Vulnerabilities po potvrdení dôkazov o aktívnom zneužívaní v reálnom prostredí. Federálnym civilným agentúram bolo nariadené opraviť dotknuté systémy do 15. mája podľa požiadaviek smernice Binding Operational Directive.
„Tento typ zraniteľnosti predstavuje častý vektor útoku pre škodlivých kybernetických aktérov a predstavuje významné riziká pre federálne prostredie,“ varovala CISA vo svojom advisori.
Linux infraštruktúra sa čoraz viac dostáva do centra pozornosti útočníkov
Varovanie agentúry zdôrazňuje širšiu zmenu správania útočníkov. Linuxové zraniteľnosti umožňujúce eskaláciu privilégií, kedysi považované najmä za problém po úspešnom prieniku pre pokročilých útočníkov, sa čoraz častejšie objavujú v bežných malware frameworkoch, playbookoch ransomvéru a reťazcoch útokov na cloud.
Nárast útokov zameraných na Linux sa zrýchlil, keď podniky migrujú workloady do cloudovej infraštruktúry založenej na Linuxe, clusterov Kubernetes a kontajnerizovaných prostredí. Útočníci, ktorí získajú čo i len obmedzený prístup ku kontajneru alebo používateľskému účtu, sa často pokúšajú zneužiť lokálne zraniteľnosti jadra na prelomenie hraníc izolácie, únik z kontajnerov alebo získanie trvalej kontroly na úrovni root.
Cloudové bezpečnostné firmy taktiež varovali, že verejne dostupné proof-of-concept exploity dramaticky skracujú čas medzi zverejnením a aktívnym zneužívaním. V mnohých nedávnych prípadoch linuxového jadra boli pokusy o exploitáciu zaznamenané už v priebehu dní po zverejnení technických detailov.
Útočníci výrazne investujú do exploitácie Linuxu, pretože práve tam dnes beží moderná infraštruktúra. Ak dnes kompromitujete Linux na úrovni jadra, často zároveň získate prístup ku kontajnerom, orchestration platformám, CI/CD pipeline, systémom správy tajomstiev a produkčným cloudovým workloadom naraz.
Pokyny pre záplaty a dočasné mitigácie
Administrátori by mali okamžite nasadiť najnovšie aktualizácie jadra, ak používajú potenciálne dotknuté distribúcie. Systémy používajúce Fedora Rawhide, rolling jadrá Arch Linuxu alebo experimentálne upstream buildy môžu čeliť najvyššiemu riziku, ak záplaty ešte neboli aplikované.
Pre organizácie, ktoré nemôžu okamžite aplikovať záplaty, výskumníci odporúčajú dočasné mitigácie podobné tým, ktoré boli predtým vydané pre zraniteľnosť Dirty Frag. Obchádzka deaktivuje zraniteľné moduly jadra súvisiace so sieťovými komponentmi RxRPC a ESP, hoci odborníci upozorňujú, že to môže narušiť funkcionalitu IPsec VPN a distribuovaných súborových systémov AFS.
Odporúčaná mitigácia deaktivuje moduly esp4, esp6 a rxrpc prostredníctvom zmien konfigurácie modprobe, pred odpojením aktívnych modulov a vyčistením kernel cache. Administrátorom sa odporúča workaround starostlivo otestovať v enterprise prostrediach pred nasadením kvôli možným vedľajším efektom v sieťovaní.
Vlna linuxových zraniteľností umožňujúcich eskaláciu privilégií pokračuje
Zverejnenie DirtyDecrypt prichádza v čase rastúcich obáv zo zvyšujúceho sa tempa objavovania zraniteľností linuxového jadra v roku 2026.
V apríli distribúcie narýchlo opravovali ďalšiu závažnú lokálnu zraniteľnosť umožňujúcu eskaláciu privilégií prezývanú „Pack2TheRoot“, ktorá ovplyvňovala daemon Linux PackageKit a podľa správ zostala neodhalená takmer 12 rokov predtým, než ju výskumníci objavili.
Zhlukovanie vysoko závažných linuxových zraniteľností umožňujúcich eskaláciu privilégií nemusí nevyhnutne znamenať celkové zhoršenie bezpečnosti Linuxu, ale skôr odráža zvýšenú pozornosť zo strany ofenzívnych bezpečnostných výskumníkov a útočníkov, ktorí sa čoraz viac sústreďujú na linuxovú infraštruktúru.
Napriek tomu obrancovia varujú, že organizácie už nemôžu predpokladať, že Linux systémy sú inherentne menej rizikové než prostredia Windows, pokiaľ ide o útoky zamerané na eskaláciu privilégií.
Keďže exploitačný kód už verejne koluje, incident response tímy očakávajú, že bezpečnostné skenovanie a oportunistické útoky zamerané na zraniteľné Linux systémy sa v najbližších dňoch rýchlo zvýšia.
Administrátori sú vyzývaní, aby prioritizovali aktualizácie jadra, monitorovali neobvyklú aktivitu súvisiacu s eskaláciou privilégií a auditovali systémy používajúce experimentálne alebo rolling-release linuxové jadrá, ktoré mohli mať povolenú zraniteľnú funkcionalitu RxGK.
Viac informácií tu:
https://www.linkedin.com/comm/pulse/public-exploit-released-dirtydecrypt-new-critical-acmje
https://www.securityweek.com/poc-released-for-dirtydecrypt-linux-kernel-vulnerability