一个名为“Dirty Frag”的 Linux 内核本地权限提升(LPE)漏洞,在官方补丁尚未发布时已被公开,并迅速被黑客用于实际攻击。攻击者只需拥有一个低权限账号,就能通过 SSH 连接获得 root 权限,进而窃取数据、篡改系统配置。微软安全团队已监测到在野利用,并警告该漏洞比此前曝光的“Copy Fail”更具威胁性。作为服务器运维人员,你需要立即采取行动。
一、 漏洞速览:Dirty Frag 是什么?
- 漏洞名称:Dirty Frag
- 漏洞类型:Linux 内核本地权限提升(LPE)
- 发现者:安全研究人员 Hyunwoo Kim
- 报告时间:2026 年 4 月 30 日
- 披露情况:因“无关第三方”违反披露禁令,漏洞细节在补丁未准备好时被公开
- 利用状态:已遭黑客在野利用(微软安全博客确认)
- 关联漏洞:与 CVE-2026-31431(Copy Fail)利用相似的 Linux 页缓存(Page Cache)机制,但攻击路径更多、成功率更高
二、 攻击手法拆解:黑客如何利用 Dirty Frag 提权?
根据微软安全团队的监测,攻击链路如下:
- 初始访问:黑客通过外部 SSH 连接目标服务器,生成一个交互式 Shell(通常使用低权限账号,如 web 服务账号、临时用户)。
- 触发漏洞:在 Shell 中执行特制的 ELF 二进制文件,该文件利用 Dirty Frag 漏洞操控 Linux 内核的页缓存机制,完成本地权限提升。
- 获取 root 权限:成功提权后,攻击者使用
su命令切换至 root 账户。 - 后渗透操作:
- 篡改与 GLPI(IT 资产管理平台)LDAP 身份认证相关的配置文件。
- 对 GLPI 及系统配置进行全面侦察。
- 窃取受害者敏感数据。
- 清理会话日志,擦除攻击痕迹。
关键特点:该漏洞不需要任何用户交互,仅依赖一个低权限 shell 即可触发。
三、 漏洞危害:为何比 Copy Fail 更危险?
| 对比项 | Copy Fail(CVE-2026-31431) | Dirty Frag |
|---|---|---|
| 利用机制 | Linux 页缓存竞态条件 | Linux 页缓存竞态条件(相似) |
| 攻击路径 | 有限 | 更多 |
| 成功率与稳定性 | 一般 | 更高 |
| 在野利用 | 已发现 | 已发现,且更活跃 |
微软警告指出,Dirty Frag 提供了更多攻击路径,因此在漏洞利用成功率与稳定性方面可能比 Copy Fail 更高,这意味着 安全风险进一步升级。攻击者甚至可以编写自动化脚本批量扫描存在漏洞的 Linux 服务器,实现大规模入侵。
四、 受影响范围与官方状态
- 受影响系统:主流 Linux 发行版(内核版本取决于具体补丁状态,建议关注各发行版安全公告)。
- 官方补丁:截止发稿时,Linux 内核团队尚未发布正式补丁(由于漏洞被提前公开,补丁开发可能加速)。
- 临时缓解:目前尚无官方通用修复方案,建议通过其他安全措施降低风险。
五、 站长/运维人员应急行动指南
5.1 立即检查服务器是否已被入侵
# 检查是否有异常 su 提权记录
grep "su:.*to root" /var/log/auth.log
# 检查近期创建的 ELF 文件(攻击载荷)
find /tmp -type f -executable -mtime -7 -ls
# 检查 GLPI 配置文件是否被篡改(如使用该软件)
md5sum /path/to/glpi/config/config.php5.2 限制低权限用户的 SSH 登录
- 禁止非必要的用户使用 SSH 登录:编辑
/etc/ssh/sshd_config,使用DenyUsers或AllowUsers指令。 - 启用密钥认证,禁用密码登录,减少账号泄露风险。
- 配置 2FA:为 SSH 登录配置双重认证(如 Google Authenticator)。
5.3 部署 Web 应用防火墙(WAF)与主机安全产品
虽然 Dirty Frag 是本地提权漏洞,但攻击者首先需要通过 SSH 或 Web 应用获取低权限入口。部署 百度云防护 WAF 可以:
- 拦截 Web 应用层的漏洞利用(如 SQL 注入、文件上传),防止攻击者通过网站获得初始 shell。
- 配合 主机安全产品 监控异常进程、特权提升行为。
- 提供 虚拟补丁:在官方内核补丁发布前,通过 WAF 的规则阻断已知攻击载荷的网络通信。
5.4 遵循最小权限原则
- 严格限制普通用户的 sudo 权限,仅授予必要命令。
- 禁用不必要的系统服务,减少攻击面。
- 定期审计
/etc/passwd和/etc/group,删除僵尸账户。
5.5 密切关注发行版安全更新
- 对于 Ubuntu、Debian、CentOS/Rocky Linux 等,订阅安全公告邮件列表。
- 一旦官方发布内核补丁,立即测试并批量更新。
六、 为什么 WAF 和主机安全产品能帮上忙?
| 防护层 | 作用 |
|---|---|
| Web 应用防火墙 | 拦截通过 Web 漏洞获取低权限 shell 的攻击,从源头阻断攻击链第一步 |
| 主机入侵检测(HIDS) | 监控可疑的 su 提权行为、异常 ELF 执行、敏感文件篡改 |
| 内核补丁管理 | 提供漏洞修复的统一调度和回滚方案 |
百度云防护 WAF 集成 Web 安全、主机安全、DDoS 防护于一体,套餐计费、用完即停,适合中小企业和个人站长。如果你担心服务器存在被提权的风险,欢迎联系 主机吧 获取免费安全评估。
七、 总结
Dirty Frag 是一个严重程度高、利用稳定、已被野外利用的 Linux 内核提权漏洞。在官方补丁到位之前,任何使用 Linux 服务器的站长都可能成为攻击目标。立即检查服务器异常活动,收紧 SSH 权限,部署 Web 应用防火墙,并准备内核更新计划。
安全从不是一成不变的防线,而是持续进化的过程。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让每一次提权尝试都无处遁形,让每一台 Linux 服务器都稳如磐石。
