<p>Pesquisadores da <strong>JFrog</strong> divulgaram o <strong>"DirtyClone"</strong> (<strong>CVE-2026-43503</strong>), uma variante do bug DirtyFrag no kernel Linux que permite que um usuário local sem privilégios obtenha acesso root explorando uma falha na clonagem de pacotes de rede.</p><h2>Causa raiz</h2><p>A causa raiz está na função <code>__pskb_copy_fclone()</code>, que descarta incorretamente a flag de segurança <code>SKBFL_SHARED_FRAG</code> durante a clonagem de pacotes de rede. Essa flag protege páginas de memória de cache de arquivos somente leitura. Sem ela, o kernel passa a tratar essa memória como buffers de rede graváveis durante transformações criptográficas em túneis IPsec.</p><h2>Cadeia de exploração</h2><p>Um atacante local com a capability <code>CAP_NET_ADMIN</code> pode carregar um binário privilegiado (como <code>/usr/bin/su</code>) na memória, vincular essas páginas a um pacote de rede e forçar o kernel a cloná-lo através de um túnel IPsec controlado pelo atacante, sobrescrevendo verificações de login do binário com bytes arbitrários. Como o arquivo em disco não é alterado, ferramentas de integridade de arquivos não detectam o ataque, e um simples reboot restaura o binário original.</p><h2>Sistemas afetados</h2><p>Distribuições que habilitam namespaces de usuário não privilegiados por padrão, como Debian e Fedora; Ubuntu 24.04+ tem mitigação parcial via AppArmor. Ambientes multi-tenant, clusters Kubernetes e runners de CI/CD são os mais expostos.</p><h2>Mitigação</h2><p>Atualizar para o kernel Linux v7.1-rc5 ou aplicar o patch retroportado (commit 48f6a5356a33), mesclado na mainline em 21/05/2026.</p>

Fonte e transparência

Fonte original: research.jfrog.com

Data de publicação original: 25/06/2026

O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.