Seguir 
Falhas de elevação de privilégio local no Linux continuam especialmente perigosas quando transformam um acesso limitado em acesso total root. A vulnerabilidade CVE-2026-43500 é a metade RxRPC da cadeia de exploração Dirty Frag, que a Microsoft diz já estar associada a abusos limitados em compromissos pós-compromisso em campo, enquanto a Qualys a descreve como um problema de gravação de cache de página que pode permitir que um usuário local sem privilégios eleve seus privilégios em distribuições Linux principais.
Esta análise da CVE-2026-43500 é importante porque a vulnerabilidade Dirty Frag no Linux não é enquadrada como um bug barulhento de acesso inicial remoto. Em vez disso, a Microsoft diz que pode ser usada após o acesso SSH, execução de web-shell, escape de contêiner ou comprometimento de uma conta de baixo privilégio, o que a torna altamente relevante em cadeias de intrusão do mundo real onde os atacantes já têm alguma forma de execução de código.
A Qualys explica que o Dirty Frag combina duas falhas do kernel do Linux: CVE-2026-43284 em xfrm-ESP e CVE-2026-43500 em RxRPC. Dentre as duas, a vulnerabilidade na CVE-2026-43500 é especialmente notável porque o caminho de exploração não requer a criação de namespace de usuário e, em vez disso, depende apenas de privilégios normais de usuário e APIs sem privilégios, como add_key(“rxrpc”, …), socket(AF_RXRPC), socket(AF_ALG), splice() e recvmsg().
Análise CVE-2026-43500 e CVE-2026-43284
Em um nível técnico, o Dirty Frag abusa do comportamento de cache de página do Linux no lado de recebimento de um protocolo de rede que realiza operações in-place em fragmentos skb. A Qualys diz que a exploração pode fixar uma página do cache de página somente leitura em estruturas do kernel e então causar uma escrita in-place nessa página, criando um caminho confiável para elevação de privilégio local sem depender das condições de corrida mais restritas vistas em muitas explorações LPE Linux antigas.
Na descrição da Qualys sobre o poc público CVE-2026-43500, o alvo escolhido é a primeira linha de /etc/passwd. Seu relato diz que a implementação reescreve bytes de uma maneira que cria um campo de senha vazio para root, após o qual o atacante pode executar su – sem um prompt de senha. A carga útil descrita publicamente do CVE-2026-43500, portanto, não é um binário tradicional de malware, mas uma sequência de ações locais que corrompe os dados em cache na memória para alterar o comportamento privilegiado do sistema.
Uma razão pela qual os defensores devem levar isso a sério é a lacuna de visibilidade. A Qualys observa que a exploração não modifica o arquivo no disco diretamente, portanto, ferramentas que dependem de hashing da cópia do disco podem não detectar o ataque porque o estado malicioso do cache existe apenas na RAM até que os caches sejam descartados ou o sistema seja reinicializado. Isso torna a detecção do CVE-2026-43500 mais dependente do comportamento e da telemetria em tempo de execução do que apenas em verificações convencionais de integridade de arquivos.
A telemetria da Microsoft mostra por que isso importa operacionalmente. Na sequência observada, uma conexão externa obteve acesso SSH, iniciou um shell interativo, carregou um binário ELF chamado ./update e, em seguida, acionou imediatamente a elevação de privilégio através de su. A Microsoft também viu ações subsequentes envolvendo edições em um arquivo de autenticação GLPI LDAP, reconhecimento de configuração do sistema, exclusão de múltiplos arquivos de sessão PHP e acesso aos dados de sessão restantes. Esses comportamentos são os iocs públicos mais próximos do CVE-2026-43500 atualmente disponíveis nas fontes citadas.
Do ponto de vista da exposição, o CVE-2026-43500 afeta ambientes onde o subsistema RxRPC vulnerável está presente e acessível a partir de um contexto de atacante local. A Qualys menciona especificamente Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora e openSUSE entre as distribuições afetadas, enquanto a Microsoft acrescenta que implantações empresariais usando contas de baixo privilégio, contêineres, caminhos administrativos expostos ou aplicativos comprometidos enfrentam risco elevado pós-comprometimento.
Mitigação CVE-2026-43500 e CVE-2026-43284
A mitigação prática do CVE-2026-43500 começa com a redução dos caminhos de ataque disponíveis antes que um patch de fornecedor esteja totalmente disponível nos ambientes. A Microsoft diz que, a partir de 8 de maio de 2026, os patches para o CVE-2026-43500 ainda não estavam disponíveis, e recomenda ações intermediárias como desativar módulos de kernel rxrpc não usados onde operacionalmente possível, avaliar se as funcionalidades esp4, esp6 e relacionadas ao IPsec/xfrm podem ser desativadas com segurança, restringir o acesso local desnecessário ao shell, reforçar as cargas de trabalho em contêineres e aumentar o monitoramento para atividade anormal de elevação de privilégio.
Para detectar a exposição e abuso do CVE-2026-43500, as organizações devem focar na telemetria de execução local, transições suspeitas de su, uso inesperado de módulos e evidências de adulteração pós-elevação em vez de esperar por um conjunto de assinaturas estáticas. A Microsoft diz que está rastreando ativamente a atividade Dirty Frag e já fornece detecções em produtos Microsoft Defender, incluindo detecções da família de exploração e alertas para lançamentos suspeitos de processos SUID/SGID e possível exploração da vulnerabilidade dirtyfrag.
Os melhores detalhes atuais para o CVE-2026-43500 também suportam a verificação pós-mitigação. A Microsoft adverte que a mitigação sozinha pode não reverter as alterações já introduzidas por meio de tentativas bem-sucedidas de exploração, enquanto a Qualys observa que o conteúdo contaminado do cache de página pode sobreviver até a limpeza do cache ou reinicialização. Por essa razão, os defensores devem validar a integridade dos arquivos críticos e, onde for operacionalmente seguro, considerar a limpeza do cache ou reinicializações durante a resposta a incidentes.
FAQ
O que é CVE-2026-43500 & CVE-2026-43284 e como funciona?
CVE-2026-43500 é a falha de gravação no cache de página RxRPC na cadeia de exploração do kernel Linux Dirty Frag. A Qualys diz que permite que um usuário local sem privilégios manipule dados em cache na memória e escale para root, enquanto a Microsoft o descreve como parte de um caminho mais amplo de elevação de privilégio pós-comprometimento envolvendo componentes de rede e manipulação de fragmentos de memória do Linux.
Quando o Dirty Frag foi descoberto pela primeira vez?
Os artigos públicos não divulgam uma data de descoberta privada. O que está confirmado é que a Qualys disse que o Dirty Frag foi publicado no dia 7 de maio de 2026, e a Microsoft publicou sua pesquisa de ataques ativos no dia 8 de maio de 2026.
Qual é o impacto do Dirty Frag nos sistemas?
O principal impacto é a elevação de privilégio local para root depois que um atacante já consegue execução limitada em um host Linux. A Microsoft diz que uma vez que o acesso root é obtido, os atacantes podem desativar ferramentas de segurança, acessar credenciais, adulterar logs, pivotar lateralmente e estabelecer persistência.
CVE-2026-43500 e CVE-2026-43284 ainda podem me afetar em 2026?
Sim. Os sistemas ainda podem estar em risco em 2026 se o caminho RxRPC vulnerável estiver presente e um atacante conseguir obter execução de código local por meio de uma conta comprometida, acesso SSH, web shell ou escape de contêiner. A Microsoft também disse que, no momento de sua publicação, patches para este CVE ainda não estavam disponíveis.
Como posso me proteger do Dirty Frag?
Reduza a exposição desativando módulos rxrpc não usados, se possível, restringindo o acesso ao shell desnecessário, reforçando contêineres, aumentando o monitoramento para elevação de privilégio anormal e implantando patches de kernel do fornecedor à medida que estiverem disponíveis. Porque a exploração pode deixar o estado malicioso do cache apenas na memória, os defensores também devem verificar a integridade dos arquivos e considerar a limpeza do cache ou reinicialização como parte da resposta a incidentes.
