.png)
Dirty Frag bukan sesuatu yang hanya baru tetapi dari Dirty Pipe. Vulnerability ini memperlihatkan bahwa Linux kernel masih memiliki pola logic flaw serupa pada jalur fast-path networking tertentu, khususnya di subsystem XFRM ESP dan RxRPC. Dampaknya jauh lebih serius dibanding sekadar local file corruption karena primitive yang dihasilkan dapat dipakai untuk memperoleh root privilege secara stabil di hampir seluruh distribusi Linux modern.
Yang membuat kasus ini menarik bukan hanya exploitability-nya, tetapi fakta bahwa vulnerability ini bersifat deterministic. Tidak ada race condition. Tidak ada timing attack rumit. Tidak ada kernel panic ketika gagal. Exploit berjalan konsisten karena masalahnya berasal dari kesalahan logika ownership memory pada page cache.
Secara teknis, inti masalah berada pada bagaimana Linux menangani fragment page (frag) dalam struct sk_buff saat proses dekripsi packet di jalur fast-path. Pada kondisi tertentu, kernel melakukan operasi in-place decryption terhadap page yang sebenarnya masih direferensikan oleh user space melalui mekanisme seperti splice(), sendfile(), atau MSG_SPLICE_PAGES.
Masalah muncul karena kernel menganggap page tersebut aman untuk dimodifikasi langsung, padahal ownership-nya bukan eksklusif milik kernel. Akibatnya, proses dekripsi justru menulis ulang data ke page cache yang masih dapat diakses oleh unprivileged process.
Secara sederhana, alurnya terlihat seperti ini:
-
User space membuat page-backed buffer menggunakan mekanisme zero-copy seperti
splice() - Buffer tersebut masuk ke networking stack
- Kernel melakukan dekripsi packet langsung pada frag page tanpa Copy-on-Write
- Data pada page cache berubah
- User space mendapatkan akses terhadap hasil modifikasi kernelv
esp4 dan esp6). Exploit ini powerful karena tersedia hampir di seluruh distro Linux modern dan menghasilkan primitive write yang sangat stabil. Namun terdapat satu kendala: attacker memerlukan kemampuan membuat unprivileged user namespace.Di titik inilah RxRPC digunakan sebagai fallback path.
RxRPC variant tidak memerlukan namespace privilege sama sekali. Tetapi modul rxrpc.ko justru tidak tersedia di sebagian besar distribusi enterprise seperti RHEL default installation.
Hasil akhirnya :
- Pada distro yang mengizinkan user namespace -- gunakan xfrm-ESP
- Pada Ubuntu yang memblokir namespace tetapi memuat RxRPC -- gunakan RxRPC
Yang lebih mengkhawatirkan adalah lifetime vulnerability ini.
xfrm-ESP variant berasal dari commit tahun 2017. Artinya bug tersebut hidup hampir 9 tahun di production kernel tanpa terdeteksi. Bahkan commit yang sama juga menjadi akar dari CVE-2022-27666 beberapa tahun lalu.
Ini menunjukkan sesuatu yang lebih kompleks: fast-path optimization di networking stack Linux memiliki attack surface yang jauh lebih besar dibanding yang selama ini diasumsikan.
Fast-path biasanya dibuat untuk performa tinggi:
- zero-copy networking
- splice optimization
- sendfile acceleration
- page reuse
- no-COW operations
Namun seluruh optimasi ini sangat sensitif terhadap ownership tracking. Sedikit kesalahan validasi reference counter atau COW handling dapat berubah menjadi privilege escalation primitive.
Dirty Frag memperlihatkan bahwa performa dan security isolation sering kali berada dalam konflik langsung di level kernel architecture.
Dalam skenario realistis, exploit ini sangat relevan untuk post-exploitation cloud environment.
Misalnya:
- attacker memperoleh low-privilege shell melalui vulnerable web application
- container escape tidak tersedia
- SELinux/AppArmor aktif
- kernel terbaru dianggap aman
Dirty Frag mengubah situasi itu.
Karena exploit bersifat deterministic dan tidak membutuhkan race timing, attacker dapat memperoleh root secara konsisten tanpa menghasilkan crash yang menarik perhatian monitoring system.
Pada environment CI/CD atau shared-hosting Linux, dampaknya bahkan lebih serius karena:
- local user dapat memperoleh full root
- namespace isolation dapat dilewati
- credential host dapat dicuri
- container breakout menjadi lebih mudah
Kasus ini juga memperlihatkan kelemahan pendekatan mitigasi parsial.
Sebelumnya banyak administrator memitigasi Copy Fail dengan mem-blacklist algif_aead.
Namun Dirty Frag tetap bekerja walaupun mitigasi tersebut diterapkan karena sink vulnerability berada pada jalur berbeda.
Ini insight penting bagi defender: blacklist berbasis symptom sering kali gagal ketika bug class dasarnya belum benar-benar dipahami.
Selama page cache ownership flaw masih ada di subsystem lain, exploit baru akan terus muncul dengan primitive serupa.
Sampai patch resmi tersedia, mitigasi paling realistis saat ini adalah memblokir module terkait:
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
printf 'install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
' > /etc/modprobe.d/dirtyfrag.conf
rmmod esp4 esp6 rxrpc
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
Mitigasi ini memang mengurangi attack surface, tetapi memiliki konsekuensi operasional:
- IPSec tertentu dapat berhenti bekerja
- fitur RxRPC tidak tersedia
- beberapa workload networking mungkin terdampak
Hal yang perlu dipantau:
-
penggunaan
splice()abnormal - namespace creation oleh unprivileged user
- loading module networking tidak biasa
- aktivitas local privilege escalation setelah foothold awal
- proses yang memanfaatkan MSG_SPLICE_PAGES
Dirty Frag kemungkinan bukan vulnerability terakhir dari family ini.
Karena akar masalahnya berada pada interaksi page cache, zero-copy optimization, dan ownership validation, masih sangat mungkin terdapat sink lain di networking stack Linux yang belum ditemukan.
Dan itu yang membuat vulnerability class seperti Dirty Frag jauh lebih penting dibanding sekadar satu CVE individual: ia membuka pola eksploitasi baru terhadap kernel modern.
Benediktus Sava – Security Researcher
Sumber:
