Artigos sobre: Servidores

Atualização de segurança Linux: vulnerabilidade Dirty Frag

Introdução

Recentemente foi divulgada a vulnerabilidade conhecida como Dirty Frag, uma falha crítica de elevação local de privilégios (Local Privilege Escalation – LPE) presente no kernel Linux.

A vulnerabilidade pode permitir que um usuário local sem permissões administrativas obtenha acesso root ao servidor.


⚠️ Um exploit público já foi divulgado, aumentando significativamente o risco para servidores Linux expostos a múltiplos usuários ou aplicações vulneráveis.


Neste artigo vamos explicar:

  • O que é a vulnerabilidade Dirty Frag.
  • Quais sistemas Linux podem ser afetados.
  • Como aplicar uma mitigação temporária.
  • Como atualizar o sistema corretamente.
  • Quando a mitigação NÃO deve ser aplicada.


O que é a vulnerabilidade Dirty Frag?

A Dirty Frag é uma vulnerabilidade de escalonamento de privilégios encontrada no kernel Linux. Na prática, um usuário local pode explorar o problema para executar comandos com privilégios root.

⚠️ Importante:

Essa vulnerabilidade exige acesso local ao sistema. Isso significa que os riscos são maiores em ambientes como:

  • Hospedagem compartilhada.
  • Servidores com múltiplos usuários SSH.
  • Containers.
  • Aplicações comprometidas.
  • Ambientes corporativos multiusuário.


Sistemas potencialmente afetados

A vulnerabilidade pode afetar diferentes distribuições Linux que utilizam kernels vulneráveis, incluindo:

  • Ubuntu.
  • Debian.
  • AlmaLinux.
  • Rocky Linux.
  • CloudLinux.
  • CentOS.
  • Distribuições derivadas do RHEL.

⚠️ A presença da vulnerabilidade depende principalmente da versão do kernel instalada no sistema.


Informações importantes

Antes de aplicar qualquer mitigação:

  • Verifique se o servidor utiliza VPN/IPsec.
  • Hosts utilizando StrongSwan ou Libreswan podem ser impactados.
  • A mitigação temporária desabilita módulos relacionados ao IPsec.
  • Em servidores convencionais de hospedagem web normalmente não há impacto.

⚠️ NÃO aplique a mitigação caso o servidor:

  • Utilize túneis VPN IPsec.
  • Utilize StrongSwan.
  • Utilize Libreswan.
  • Dependa de tráfego IPsec no kernel Linux.


Como aplicar a mitigação temporária

Enquanto as atualizações oficiais do kernel não estiverem instaladas, é possível reduzir o risco bloqueando os módulos vulneráveis.

1º Passo: Acessar o servidor via SSH

Conecte-se ao servidor:

ssh root@IP_DO_SERVIDOR

Substitua:

IP_DO_SERVIDOR

Pelo IP do seu servidor.


2º Passo: Bloquear os módulos vulneráveis

Execute:

sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Esse comando:

  • Impede o carregamento automático dos módulos vulneráveis.
  • Remove os módulos caso estejam carregados.
  • Reduz a possibilidade de exploração da vulnerabilidade.


3º Passo: Restaurando binários em memória após a mitigação

Segundo os pesquisadores, a exploração da vulnerabilidade pode alterar binários legítimos do sistema diretamente no cache de memória (page cache) durante a obtenção de privilégios root.

Por esse motivo, apenas aplicar a mitigação pode não ser suficiente em servidores que potencialmente já tenham sido alvo da exploração antes da correção.

Após aplicar a mitigação, recomendamos limpar o cache de memória do kernel executando:

echo 3 > /proc/sys/vm/drop_caches

⚠️ Esse comando remove caches temporários do kernel Linux e ajuda a garantir que arquivos em memória sejam recarregados corretamente a partir do disco.

⚠️ Recomendamos executar esse procedimento em horários de menor uso do servidor, pois a limpeza do cache pode causar aumento temporário de uso de disco e pequena degradação de desempenho até o recarregamento dos dados em memória.


Como atualizar o sistema

A correção definitiva será disponibilizada através de atualizações do kernel Linux.

Ubuntu / Debian

Atualize o sistema utilizando:

apt update && apt upgrade -y

Depois reinicie o servidor:

reboot


AlmaLinux / Rocky Linux / CloudLinux

Atualize o sistema utilizando:

dnf update -y

Depois reinicie:

reboot


Como verificar a versão do kernel

Após reiniciar, verifique o kernel ativo:

uname -r

Também recomendamos acompanhar os comunicados oficiais da distribuição Linux utilizada no servidor.


Como remover a mitigação após atualização

Depois que o kernel corrigido estiver instalado, remova a mitigação executando:

sudo rm /etc/modprobe.d/dirtyfrag.conf

Reinicie novamente:

reboot


Impactos da mitigação

Os módulos:

esp4
esp6

São utilizados pelo kernel Linux para funcionamento de túneis IPsec.

Ao desativá-los:

  • VPNs IPsec podem parar de funcionar.
  • StrongSwan pode ser impactado.
  • Libreswan pode ser impactado.

Já o módulo:

rxrpc

É normalmente utilizado apenas em ambientes específicos com AFS e geralmente não afeta servidores de hospedagem tradicionais.


Considerações finais

A vulnerabilidade Dirty Frag representa um risco importante principalmente em ambientes Linux com múltiplos usuários locais.

Recomendamos:

  • Aplicar as atualizações do kernel assim que disponíveis.
  • Utilizar apenas usuários SSH necessários.
  • Restringir acessos administrativos.
  • Monitorar os boletins oficiais da sua distribuição Linux.
  • Aplicar a mitigação temporária apenas se o servidor não depender de IPsec/VPN.


Links úteis


Ficou com alguma dúvida? Nossa equipe está à disposição nos canais de atendimento para lhe auxiliar.

Atualizado em: 08/05/2026

Este artigo foi útil?

Compartilhe seu feedback

Cancelar

Obrigado!