DirtyDecrypt: nowa luka eskalacji uprawnień w Linuksie z publicznie dostępnym exploitem - Security Bez Tabu

DirtyDecrypt: nowa luka eskalacji uprawnień w Linuksie z publicznie dostępnym exploitem

Cybersecurity news

Wprowadzenie do problemu / definicja

DirtyDecrypt to nowo ujawniona podatność lokalnej eskalacji uprawnień w jądrze Linux, powiązana z modułem rxgk w stosie RxRPC/AFS. Problem może umożliwić podniesienie uprawnień do poziomu root na wybranych systemach, jeśli spełnione są określone warunki konfiguracyjne i obecne jest podatne jądro.

Znaczenie tej luki wzmacnia fakt, że publicznie udostępniono już proof-of-concept. W praktyce skraca to czas między ujawnieniem błędu a możliwością jego realnego wykorzystania w środowiskach testowych, deweloperskich i produkcyjnych.

W skrócie

DirtyDecrypt, określana również jako DirtyCBC, dotyczy komponentu rxgk i została opisana jako błąd nieprawidłowej walidacji długości danych uwierzytelniających. Luka została powiązana z identyfikatorem CVE-2026-31635, a poprawki dla jądra opublikowano w kwietniu 2026 roku.

  • Typ zagrożenia: lokalna eskalacja uprawnień
  • Dotknięty komponent: rxgk w stosie RxRPC/AFS
  • Identyfikator: CVE-2026-31635
  • Status: dostępny publiczny exploit demonstracyjny
  • Najbardziej narażone środowiska: systemy z aktywną obsługą RxGK i nowymi wersjami kernela

Kontekst / historia

Informacje o luce zyskały rozgłos 18 maja 2026 roku, kiedy opisano dostępność publicznego exploitu dla świeżo załatanej podatności. Badacze z zespołu V12 wskazali, że niezależnie odkryli i zgłosili problem 9 maja 2026 roku, po czym otrzymali informację, że chodzi o duplikat wcześniej naprawionej usterki.

Incydent wpisuje się w szerszy trend błędów eskalacji uprawnień w Linuksie, które wynikają z problemów z pamięcią, walidacją danych wejściowych oraz obsługą rzadziej używanych funkcji jądra. Dla administratorów oznacza to konieczność szybkiego reagowania nie tylko na same poprawki, ale również na pojawiające się niemal natychmiast analizy techniczne i demonstracyjne exploity.

Analiza techniczna

Sedno problemu znajduje się w obsłudze mechanizmu rxgk w jądrze Linux. Funkcja odpowiedzialna za weryfikację odpowiedzi dekoduje parametr długości uwierzytelniającej i powinna sprawdzić, czy mieści się on w pozostałej części pakietu. W podatnej implementacji warunek walidacyjny był odwrócony, przez co zbyt duże wartości mogły zostać zaakceptowane zamiast odrzucone.

W konsekwencji nieprawidłowe dane trafiały dalej do ścieżki odszyfrowywania w rxgk_decrypt_skb(), a następnie mogły wywołać operacje na buforze z niemożliwą długością. Oficjalny opis błędu wskazuje na dojście do ścieżki skb_to_sgvec() i krytycznego stanu BUG_ON(len), co pokazuje, że źródłem problemu jest niespójność parametrów wejściowych oraz błędna kontrola długości.

Choć formalny opis CVE koncentruje się na skutkach w obszarze dostępności, publiczna analiza i dostępny proof-of-concept sugerują możliwość wykorzystania błędu do uzyskania uprawnień roota w określonych warunkach. Kluczowe znaczenie ma obecność konfiguracji CONFIG_RXGK, która włącza obsługę RxGK dla klienta Andrew File System.

Nie oznacza to jednak, że wszystkie systemy Linux są zagrożone w takim samym stopniu. Najbardziej narażone pozostają dystrybucje szybko adoptujące nowe wydania kernela, a także środowiska korzystające z odpowiednich modułów sieciowych i AFS. Fakt, że exploit został już przetestowany na konkretnych platformach, zwiększa ryzyko dalszej adaptacji kodu przez innych badaczy lub napastników.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem DirtyDecrypt jest lokalna eskalacja uprawnień do poziomu root. Jeśli atakujący ma już możliwość uruchamiania kodu na systemie, nawet z konta o ograniczonych uprawnieniach, luka może umożliwić pełne przejęcie hosta.

W praktyce otwiera to drogę do wyłączenia mechanizmów ochronnych, trwałego osadzenia się w systemie, kradzieży danych, modyfikacji logów oraz dalszego ruchu bocznego w infrastrukturze. Ryzyko rośnie dodatkowo z uwagi na publicznie dostępny proof-of-concept oraz fakt, że podatność dotyczy jądra, czyli najbardziej uprzywilejowanej warstwy systemu operacyjnego.

Dodatkowym wyzwaniem jest ocena wpływu działań tymczasowych na ciągłość działania usług. Obejścia mogą ograniczać działanie wybranych modułów, co w niektórych środowiskach może wpłynąć na usługi związane z AFS lub innymi zależnymi komponentami sieciowymi.

Rekomendacje

Najważniejszym działaniem pozostaje jak najszybsze wdrożenie aktualizacji jądra zawierających poprawkę. Organizacje powinny zweryfikować, czy używane wersje kernela należą do gałęzi objętych problemem oraz czy w środowisku aktywna jest konfiguracja związana z RxGK.

Jeżeli natychmiastowe patchowanie nie jest możliwe, warto rozważyć czasowe ograniczenie ładowania podatnych modułów, po wcześniejszej ocenie wpływu takiego działania na usługi biznesowe. Równolegle należy zwiększyć monitoring prób lokalnej eskalacji uprawnień i nietypowych błędów jądra.

  • przeprowadzić inwentaryzację hostów z nowymi wersjami jądra Linux,
  • sprawdzić obecność obsługi RxGK w konfiguracji jądra i modułów,
  • monitorować awarie kernela i anomalie związane z rxrpc, rxgk oraz AFS,
  • nadać wysoki priorytet aktualizacji systemów wieloużytkownikowych,
  • ograniczyć możliwość uruchamiania nieautoryzowanego kodu lokalnie,
  • zweryfikować polityki EDR i telemetrię pod kątem prób eskalacji uprawnień.

DirtyDecrypt warto także potraktować jako impuls do przeglądu hardeningu systemów Linux. Jeżeli dana funkcjonalność jądra nie jest wymagana operacyjnie, należy rozważyć jej wyłączenie lub niewłączanie w niestandardowych buildach.

Podsumowanie

DirtyDecrypt to istotna podatność jądra Linux, ponieważ łączy błąd walidacji danych z praktycznym ryzykiem eskalacji uprawnień oraz szybkim pojawieniem się publicznego exploitu. Chociaż zagrożenie dotyczy przede wszystkim systemów z aktywną obsługą RxGK, skutki skutecznego ataku mogą być bardzo poważne.

Dla organizacji kluczowe pozostają trzy działania: identyfikacja podatnych hostów, szybkie wdrożenie poprawek oraz zastosowanie tymczasowych środków ograniczających tam, gdzie aktualizacja nie może zostać przeprowadzona od razu.

Źródła

  1. BleepingComputer — Exploit available for new DirtyDecrypt Linux root escalation flaw — https://www.bleepingcomputer.com/news/security/exploit-available-for-new-dirtydecrypt-linux-root-escalation-flaw/
  2. National Vulnerability Database — CVE-2026-31635 Detail — https://nvd.nist.gov/vuln/detail/CVE-2026-31635
  3. Linux Kernel Documentation — kAFS: AFS FILESYSTEM — https://docs.kernel.org/filesystems/afs.html
  4. V12 Security — dirtydecrypt proof-of-concept — https://github.com/v12-security/pocs/tree/main/dirtydecrypt