フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Dirty Fragは、Linuxのローカル権限昇格の脆弱性で、次のように追跡されています CVE-2026-43284 and CVE-2026-43500 これは、低権限ユーザーがカーネルのネットワーキングやメモリフラグメント処理コンポーネントを悪用してrootアクセスを取得するのを可能にします。これには esp4, esp6、および rxrpcが含まれます。エクスプロイトは、現実の攻撃で観察されており、攻撃者はまずSSHアクセス、Webシェル、コンテナ脱出、または侵害されたサービスアカウントを通じて最初の足場を得てから、ELFバイナリを用いて su コマンドを呼び出して脆弱性を誘発します。root権限が得られると、攻撃者はセキュリティ制御を無効にし、ログを変更し、水平展開し、長期的な永続化を確立することができます。報告書ではこの技術を使った限られたが活発なキャンペーンについて述べています。
調査
Microsoft Defenderの研究者は、外部の攻撃者が最初にSSHアクセスを取得し、インタラクティブシェルを開き、 ./updateと名付けられたELFバイナリを配置するという段階的な侵入チェーンを観察しました。このバイナリは直ちに su を呼び出して権限を昇格し、攻撃者はその後、GLPI LDAP認証ファイルを修正し、GLPIディレクトリを列挙し、PHPセッションファイルを削除および読み取り、セッションデータを流出させました。この活動は、疑わしいSUIDおよびSGIDの実行や潜在的なDirty Fragの悪用に関連するMicrosoft Defenderのアラートと一致しました。調査は進行中で、研究者は新しいテレメトリを引き続きレビューしています。
緩和策
のセキュリティ更新は2026年5月8日にリリースされましたが、 CVE-2026-43284 に対する修正は報告時点ではまだ利用可能ではありません。推奨される緩和策には、脆弱なカーネルモジュールを CVE-2026-43500 modprobe rxrpc, esp4、および esp6 設定を通じて無効にし、不必要なローカルシェルアクセスを減らし、コンテナ化されたワークロードを強化し、想定される悪用後にページキャッシュをクリアすることが含まれます。組織はまた、カーネルパッチの展開を優先し、疑わしい侵害後に重要なファイルの整合性を確認する必要があります。 modprobe configuration, reducing unnecessary local shell access, hardening containerized workloads, and clearing page caches after suspected exploitation attempts. Organizations should also prioritize kernel patch deployment and verify the integrity of critical files following any suspected compromise.
対応策
防御者は、 su コマンドの異常な使用、 esp4, esp6のロード、または未知のELFバイナリの特権コンテキストでの実行を検出するべきです。最新のカーネルアップデートを迅速に適用することが重要です。追加の制御には、ローカルアカウントに対する最小権限の実施、SSHキー管理の強化、およびGLPI LDAP認証構成ファイルのファイル整合性モニタリングが含まれます。悪用が疑われる場合、チームはキャッシュをクリアし、影響を受けたモジュールをアンロードし、メモリとファイルシステムのアーティファクトのフォレンジック分析を行うべきです。 rxrpc modules, and execution of unknown ELF binaries in privileged contexts. Applying the latest kernel updates promptly remains critical. Additional controls should include least-privilege enforcement for local accounts, tighter SSH key management, and file integrity monitoring for sensitive files such as GLPI LDAP authentication configurations. If exploitation is suspected, teams should clear caches, unload the affected modules, and perform forensic analysis of both memory and filesystem artifacts.
"graph TB %% クラス定義セクション classDef action fill:#99ccff %% アクションノードのための青 classDef builtin fill:#cccccc %% ツール、マルウェア、脆弱性、ファイルのための灰色 %% ノード定義 initial_access["<b>アクション</b> – <b>T1078 有効なアカウント</b><br/><b>説明</b>: 侵害されたSSHクレデンシャルを使用してLinuxホストでインタラクティブシェルを取得します。"] class initial_access action execution_unix_shell["<b>アクション</b> – <b>T1059.004 Unixシェル</b><br/><b>説明</b>: Unixシェル経由で悪意のあるELFバイナリ(./update)を実行します。"] class execution_unix_shell action priv_esc_exploit["<b>アクション</b> – <b>T1068 権限昇格のための脆弱性利用</b><br/><b>説明</b>: Dirtyu202fFragカーネルの脆弱性(CVEu20112026u201143284 / CVEu20112026u201143500)を利用してroot権限を取得します。"] class priv_esc_exploit action credential_harvest["<b>アクション</b> – <b>T1552.001 ファイル内クレデンシャル</b><br/><b>説明</b>: GLPI LDAP認証ファイルを修正して格納されたクレデンシャルを収集します。"] class credential_harvest action defense_evasion["<b>アクション</b> – <b>T1070.004 ファイル削除</b><br/><b>説明</b>: PHPセッションファイルを削除して証拠を消去し、アクティブセッションを混乱させます。"] class defense_evasion action tool_ssh["<b>ツール</b> – <b>名前</b>: SSH<br/><b>説明</b>: 盗まれたクレデンシャルで使用されるリモートログインプロトコル。"] class tool_ssh builtin malware_update["<b>マルウェア</b> – <b>名前</b>: update (ELFバイナリ)<br/><b>説明</b>: 権限昇格を引き起こすために使用される悪意のある実行可能ファイル。"] class malware_update builtin vuln_dirtyfrag["<b>脆弱性</b> – <b>名前</b>: Dirtyu202fFrag (CVEu20112026u201143284 / CVEu20112026u201143500)<br/><b>説明</b>: ローカル権限昇格を可能にするカーネルメモリーu2011破損バグ。"] class vuln_dirtyfrag builtin file_glpi["<b>ファイル</b> – <b>名前</b>: GLPI LDAP認証構成<br/><b>パス</b>: /etc/glpi/ldap.conf"] class file_glpi builtin file_sessions["<b>ファイル</b> – <b>名前</b>: PHPセッションファイル<br/><b>ロケーション</b>: /var/lib/php/sessions/"] class file_sessions builtin %% 攻撃フローを示す接続 initial_access –>|使用する| tool_ssh tool_ssh –>|シェルを提供する| execution_unix_shell execution_unix_shell –>|実行する| malware_update malware_update –>|悪用する| vuln_dirtyfrag vuln_dirtyfrag –>|可能にする| priv_esc_exploit priv_esc_exploit –>|修正する| file_glpi file_glpi –>|可能にする| credential_harvest credential_harvest –>|につながる| defense_evasion defense_evasion –>|削除する| file_sessions "
攻撃フロー
シミュレーション実行
前提条件: テレメトリ & ベースラインの事前チェックが成功している必要があります。
根拠: このセクションは、トリガーされた検出ルールに対応する正確な攻撃手法(T1548)の実行を詳細に説明します。コマンドと物語は、確認されたTTPに直接反映され、検出ロジックによって期待される正確なテレメトリを生成することを目的とする必要があります。
-
攻撃シナリオ & コマンド:
-
準備 – 悪意のあるELFをドロップする:
攻撃者は、低権限のアカウントを使って、Dirty Frag脆弱性を悪用するように細工されたELFバイナリをupdateと名付けて作成します。実験室では、簡単な”hello world” ELFでこれをシミュレートします。cat <<'EOF' > update.c #include <stdio.h> int main() { printf("悪意のあるupdateが実行されましたn"); return 0; } EOF gcc -o update update.c chmod +x update -
脆弱なバイナリの実行:
攻撃者はカレントディレクトリからELFを実行し、のイベントを生成します./update../update -
特権昇格 – ELFの後に
suを呼び出す:
悪意의あるELFが終了した直後、攻撃者はsuを実行してrootシェルを取得し、システムの誤設定に依存してパスワードなしの昇格を行います(これは脆弱なラボ設定で一般的です)。su -c "id"コマンドラインは
su -c "id"を含みます。同じセッション内の一部として./update(検出ルールは を確認するだけです)。ルールを満たすために、コマンドライン自体에パスを埋め込みます:を確認するだけです)。ルールを満たすために、コマンドライン自体에パスを埋め込みます:回帰テストスクリプト:suこれは、悪意のあるELFの実行と特権昇格リクエストを単一のsu呼び出しに連結し、ルールが期待する正確なテレメトリを生成します。回帰テストスクリプト:#!/usr/bin/env bash # ———————————————————— # Dirty Frag / コピー失敗による特権昇格チェーン을 시뮬레이션します # ———————————————————— set -euo pipefail # 1. 「update」と名付けられたダミーELFバイナリを構築する cat <<‘EOF’ > update.c #include <stdio.h> int main() { printf(“擬似悪意のあるupdaten”); return 0; } EOF gcc -o update update.c chmod +x update # 2. ELFを実行する(通常のexecveイベントを生成する) echo “[*] 悪意のあるELF ./updateを実行中” ./update # 3. 検出条件をトリガー: コマンドラインに ‘./update’를含むsuを呼び出す echo “[*] ‘./update’를参照しながら権限を昇格させるsuを呼び出す” # 記録: 多くのラボ環境では’su’がパスワードなしで構成されているかもしれません。 su -c “./update && id” # 4. クリーンアップ(別途処理)
suクリーンアップコマンド:
-
-
#!/usr/bin/env bash # ———————————————————— # シミュレーションスクリプトによって作成されたアーティファクトをクリーンアップする # ———————————————————— set -euo pipefail エコー “[*] シミュレートされたELFバイナリとソースファイル를削除する” rm -f update update.c エコー “[*] クリーンアップ完了”
攻撃フロー -
"graph TB %% クラス定義セクション classDef action fill:#99ccff %% アクションノードのための青 classDef builtin fill:#cccccc %% ツール、マルウェア、脆弱性、ファイルのための灰色 %% ノード定義 initial_access["<b>アクション</b> – <b>T1078 有効なアカウント</b><br/><b>説明</b>: 侵害されたSSHクレデンシャル을使用してLinuxホスト에서インタラクティブシェルを取得する。"] class initial_access action execution_unix_shell["<b>アクション</b> – <b>T1059.004 Unixシェル</b><br/><b>説明</b>: Unixシェル経由で悪意のあるELFバイナリ(./update)を実行する。"] class execution_unix_shell action priv_esc_exploit["<b>アクション</b> – <b>T1068 権限昇格のための脆弱性利用</b><br/><b>説明</b>: Dirtyu202fFragカーネル의脆弱性(CVEu20112026u201143284/DCEu20112026u201143500)を利用してroot権限を取得する。"] class priv_esc_exploit action credential_harvest["<b>アクション</b> – <b>T1552.001 ファイル内クレデンシャル</b><br/><b>説明</b>: GLPI LDAP認証ファイルを修正하여格納されたクレデンシャルを収集する。"] class credential_harvest action defense_evasion["<b>アクション</b> – <b>T1070.004 ファイル削除</b><br/><b>説明</b>: PHPセッションファイルを削除して証拠を消去し、aクティブセッション을混乱させる。"] class defense_evasion action tool_ssh["<b>ツール</b> – <b>名前</b>: SSH<br/><b>説明</b>: 盗まれたクレデンシャルで使用されるリモートログインプロトコル。"] class tool_ssh builtin malware_update["<b>マルウェア</b> – <b>名前</b>: update (ELFバイナリ)<br/><b>説明</b>: 権限昇格を引き起こすために使用される悪意의ある実行可能파일。"] class malware_update builtin vuln_dirtyfrag["<b>脆弱성</b> – <b>名前</b>: Dirtyu202fFrag (CVEu20112026u201143284/DCu20112026u201143500)<br/><b>説明</b>: ローカル権限昇格을可能にするカーネルメモリーu2011破損バグ。"] class vuln_dirtyfrag builtin file_glpi["<b>ファイル</b> – <b>名前</b>: GLPI LDAP認証構成<br/><b>パス</b>: /etc/glpi/ldap.conf"] class file_glpi builtin file_sessions["<b>ファイル</b> – <b>名前</b>: PHPセッション파일<br/><b>ロケーション</b>: /var/lib/php/sessions/"] class file_sessions builtin %% 攻撃フロー를示す接続 initial_access –>|使用する| tool_ssh tool_ssh –>|提供するシェルのため| execution_unix_shell execution_unix_shell –>|実行する| malware_update malware_update –>|利用する| vuln_dirtyfrag vuln_dirtyfrag –>|可能にする| priv_esc_exploit priv_esc_exploit –>|修正する| file_glpi file_glpi –>|可能にする| credential_harvest credential_harvest –>|につながる| defense_evasion defense_evasion –>|削除する| file_sessions "
#!/usr/bin/env bash # ------------------------------------------------------------ # Cleanup artifacts created by the simulation script # ------------------------------------------------------------ set -euo pipefail echo "[*] Removing simulated ELF binary and source file" rm -f update update.c echo "[*] Cleanup complete"