Исследователь безопасности опубликовал эксплойт для недавно исправленной уязвимости локального повышения привилегий в модуле rxgk ядра Linux. Уязвимость позволяет злоумышленникам получить root-доступ на некоторых Linux-системах.
Уязвимость получила название DirtyDecrypt, также известна как DirtyCBC. О ней также независимо сообщили специалисты команды безопасности V12 в начале этого месяца. Однако сопровождающие проекта сообщили исследователям, что проблема уже была обнаружена ранее и исправлена в основной ветке ядра Linux.
V12 сообщает:
Мы обнаружили и сообщили об этой проблеме 9 мая 2026 года, но сопровождающие сообщили нам, что это дубликат уже известной уязвимости. Проблема связана с записью в pagecache через rxgk из-за отсутствующей проверки Copy-on-Write (COW) в rxgk_decrypt_skb. Подробности доступны в poc.c.
Данной уязвимости пока не присвоен официальный идентификатор CVE, но по словам Уилла Дорманна (Will Dormann), главного аналитика уязвимостей в Tharros, опубликованная исследователями информация соответствует описанию CVE-2026-31635, исправленной 25 апреля.
Условия эксплуатации
Для успешной эксплуатации требуется ядро Linux, собранное с опцией CONFIG_RXGK, которая включает поддержку безопасности RxGK для клиента Andrew File System (AFS) и сетевого транспорта.
Это ограничивает поверхность атаки в основном Linux-дистрибутивами, которые быстро переходят на свежие версии upstream-ядра, включая Fedora Linux, Arch Linux и openSUSE Tumbleweed. При этом эксплойт «доказательства концепции» от V12 пока тестировался только на Fedora и основной ветке ядра Linux.
DirtyDecrypt относится к тому же классу уязвимостей, что и другие недавно раскрытые уязвимости повышения привилегий в Linux, включая Dirty Frag, Fragnasia и Copy Fail.
Рекомендации по защите
Пользователям потенциально затронутых Linux-дистрибутивов рекомендуется как можно скорее установить последние обновления ядра.
Тем, кто не может немедленно обновить систему, советуют использовать ту же меру защиты, что и для Dirty Frag. Однако стоит учитывать, что это приведёт к неработоспособности IPsec VPN и распределённых сетевых файловых систем AFS:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
Раскрытие данных уязвимостей произошло на фоне сообщений о том, что уязвимость Copy Fail уже активно эксплуатируется в реальных атаках.
1 мая Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило Copy Fail в каталог уязвимостей, используемых в атаках, и обязало федеральные ведомства защитить свои Linux-устройства в течение двух недель — до 15 мая. Агентство сообщило:
Этот тип уязвимостей часто используется злоумышленниками и представляет значительные риски для федеральной инфраструктуры.
В апреле Linux-дистрибутивы также начали выпускать патчи для другой уязвимости повышения привилегий до root-уровня под названием Pack2TheRoot в демоне PackageKit, которая оставалась незамеченной почти 12 лет.