Стежити 
Помилки підвищення привілеїв у системах Linux залишаються особливо небезпечними, коли вони перетворюють обмежений доступ у повний root-доступ. Уразливість CVE-2026-43500 є частиною експлойт-ланцюга Dirty Frag для RxRPC, який, за словами Microsoft, вже пов’язаний з обмеженим застосуванням після компрометації, тоді як Qualys описує його як проблему запису в кеш-сторінку, що може дозволити ненаділеному привілеями локальному користувачу підвищити привілеї в основних дистрибутивах Linux.
Аналіз CVE-2026-43500 важливий, оскільки вразливість Dirty Frag Linux не є шумним віддаленим багом початкового доступу. Натомість Microsoft стверджує, що вона може використовуватися після доступу через SSH, виконання веб-шелл, втечі з контейнеру або компрометації облікового запису з низькими привілеями, що робить її дуже актуальною в реальних ланцюгах вторгнення, коли зловмисники вже мають якусь форму виконання коду.
Qualys пояснює, що Dirty Frag об’єднує дві помилки ядра Linux: CVE-2026-43284 у xfrm-ESP та CVE-2026-43500 у RxRPC. З обох, уразливість у CVE-2026-43500 особливо помітна, оскільки шлях експлойта не вимагає створення простору імен користувача і натомість спирається лише на звичайні користувацькі привілеї і незігнані API, такі як add_key(“rxrpc”, …), socket(AF_RXRPC), socket(AF_ALG), splice() та recvmsg().
Аналіз CVE-2026-43500 і CVE-2026-43284
На технічному рівні, Dirty Frag використовує поведінку кешу сторінок Linux на приймальній стороні мережевого протоколу, що виконує операції in-place на фрагментах skb. Qualys каже, що експлойт може закріпити сторінку кешу в структурі ядра і потім викликати запис in-place на цю сторінку, створюючи надійний шлях до підняття локальних привілеїв без опирання на вузькі гонки, помічені в багатьох старих експлойтах збільшення привілеїв Linux.
У опису CVE-2026-43500 poc від Qualys обраною ціллю є перший рядок /etc/passwd. Їхній опис каже, що реалізація переписує байти таким чином, що створює порожнє поле пароля для root, після чого зловмисник може виконати su – без пароля. Публічно описаний CVE-2026-43500 не є традиційною бінарною програмою зловмисного програмного забезпечення, а послідовністю локальних дій, що пошкоджують кешовані дані в пам’яті, щоб змінити привілейну поведінку системи.
Одна з причин, чому захисники повинні ставитися до цього серйозно, — це розрив в видимості. Qualys відзначає, що експлойт не змінює файл на диску безпосередньо, тому інструменти, що спираються на хешування дискової копії, можуть пропустити атаку, оскільки зловмисний стан кешу існує лише в RAM до скидання кешу або перезавантаження системи. Це робить виявлення CVE-2026-43500 більш залежним від поведінки і телеметрії під час виконання, ніж від перевірок цілісності файлів у звичайному вигляді.
Телеметрія Microsoft показує, чому це важливо з оперативної точки зору. У спостережуваній послідовності, зовнішнє з’єднання отримало доступ через SSH, запустило інтерактивну оболонку, поставило ELF бінарний файл під назвою ./update, а потім відразу спричинило підвищення привілеїв через su. Microsoft також бачив подальші дії, що включали правки до файлу аутентифікації GLPI LDAP, розвідку конфігурації системи, видалення декількох файлів PHP-сесій, і доступ до залишкових даних сесій. Ці дії є найближчими до публічно доступних IOCs з CVE-2026-43500 від зазначених джерел.
З точки зору експозиції, CVE-2026-43500 впливає на середовища, де присутня і досяжна локальному зловмиснику підсистема RxRPC. Qualys особливо виділяє Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora і openSUSE серед уразливих дистрибутивів, в той час як Microsoft додає, що корпоративні розгортання з обліковими записами з низькими привілеями, контейнерами, відкритими адміністративними шляхами або скомпрометованими додатками наражаються на підвищений ризик після компрометації.
Зменшення наслідків CVE-2026-43500 і CVE-2026-43284
Практичне зменшення наслідків CVE-2026-43500 починається зі скорочення доступних шляхів атаки до того, як випуск оновлень від постачальників стане повністю доступним у всіх середовищах. Microsoft заявляє, що на 8 травня 2026 року виправлення для CVE-2026-43500 ще не були доступні, і рекомендує проміжні дії, такі як відключення невикористовуваних модулів ядра rxrpc, де це є можливим з точки зору експлуатації, оцінка того, чи можуть бути безпечно відключені функціональності esp4, esp6 та пов’язані з IPsec/xfrm, обмеження непотрібного локального доступу до оболонки, посилення захисту контейнеризованих навантажень, і посилення контролю за аномальною діяльністю підвищення привілеїв.
Щоб виявити уразливість CVE-2026-43500 і її використання, організації повинні зосередитися на телеметрії локального виконання, підозрілих переходах su, несподіваному використанні модулів, і доказах маніпуляцій після підвищення, а не чекати на набір статичних сигнатур. Microsoft заявляє, що активно відстежує активність Dirty Frag і вже надає виявлення в продуктах Microsoft Defender, включаючи виявлення на рівні сімейства експлойтів і сповіщення про підозрілі запуски процесів SUID/SGID та потенційне використання уразливості dirtyfrag.
Кращі поточні деталі для CVE-2026-43500 також підтримують перевірку після зменшення наслідків. Microsoft попереджає, що саме зменшення наслідків може не відновити зміни, вже внесені через спроби успішної експлуатації, в той час як Qualys відзначає, що заражений вміст кешу сторінок може існувати до очищення кешу або перезавантаження. З цієї причини захисники повинні перевіряти цілісність критичних файлів і, де це безпечно з точки зору експлуатації, розглянути можливості очищення кешу або перезавантаження під час реагування на інциденти.
FAQ
Що таке CVE-2026-43500 і CVE-2026-43284 і як вони працюють?
CVE-2026-43500 – це помилка запису в кеш RxRPC у ланцюгу експлойтів Dirty Frag ядра Linux. Qualys каже, що вона дозволяє користувачеві без привілей маніпулювати кешованими даними в пам’яті і підвищувати рівень до root, тоді як Microsoft описує її як частину ширшого шляху підвищення привілеїв після компрометації, що включає компоненти обробки мережі Linux і фрагментів пам’яті.
Коли Dirty Frag був вперше виявлений?
У публічних статтях не розголошується дата приватного відкриття. Можна підтвердити те, що Qualys сказав, що Dirty Frag був опублікований 7 травня 2026 року, а Microsoft опублікувала своє дослідження активних атак 8 травня 2026 року.
Який вплив Dirty Frag на системи?
Основний вплив — це підвищення локальних привілеїв до root після того, як зловмисник вже отримав обмежене виконання на хості Linux. Microsoft стверджує, що коли доступ до root отримано, зловмисники можуть відключити інструменти безпеки, отримати доступ до облікових даних, маніпулювати журналами, здійснити бічний перехід та встановити стійкість.
Чи можуть CVE-2026-43500 та CVE-2026-43284 ще впливати на мене у 2026 році?
Так. Системи все ще можуть бути під загрозою у 2026 році, якщо уразливий шлях RxRPC присутній і зловмисник може досягти локального виконання коду через зламаний обліковий запис, стійку точку доступу SSH, веб-шелл або втечу з контейнера. Microsoft також стверджує, що на час своєї публікації виправлення для цієї CVE ще не були доступні.
Як я можу захиститися від Dirty Frag?
Зменшіть експозицію, відключивши невикористовувані модулі rxrpc, обмежуючи непотрібний доступ до shell, посилюючи захист контейнерів, посилюючи моніторинг аномальної діяльності підвищення привілеїв і розгортаючи виправлення ядра від постачальника, коли вони стають доступними. Оскільки експлойт може залишати зловмисний стан кешу лише в пам’яті, захисники також повинні перевіряти цілісність файлів і розглянути можливості очищення кешу або перезавантаження як частину реагування на інциденти.
