# 标题:** Linux 内核本地权限提升 (CVE-2026-43284 / CVE-2026-43500 / CVE-2026-46300) # 作者:** nu11secur1ty # 日期:** 2026-05-11 # 供应商:** Linux 内核 # 软件:** Linux 内核 (所有主要发行版) # 漏洞类型:** 页面缓存写入 / 内存损坏 # 状态:** 高 / 严重 --- ## 描述 **"Kukurigu"** 利用代表了一种针对 Linux 内核页面缓存管理的复杂本地权限提升 (LPE) 支向量。该漏洞不是一个单一的错误,而是两个不同缺陷的策略性链式攻击,允许无特权的攻击者绕过标准的文件系统写入保护。 ### 漏洞链: 1. **CVE-2026-43284 (xfrm-ESP):** ESP 协议实现中存在逻辑错误,当扩展序列号 (ESN) 处于活动状态时。该缺陷允许本地用户直接将任意 4 字节写入页面缓存。 2. **CVE-2026-43500 (RxRPC):** RxRPC 协议中存在一个漏洞,该漏洞促进页面缓存页面内数据的就地解密。 3. **CVE-2026-46300 (Fragnesia - ESP-in-TCP):** `skb_try_coalesce()` 中存在一个错误,允许通过分片 ESP 数据包进行页面缓存写入。 ### 影响分析: 通过链式利用这些漏洞,攻击者可以修改 setuid 二进制文件(例如 `/usr/bin/su` 或 `/usr/bin/sudo`)或敏感系统文件(例如 `/etc/passwd`)的内存驻留页面。由于修改发生在页面缓存中,攻击者实际上“污染”了执行环境。 **攻击者的关键优势:** * **稳定性:** 不涉及竞态条件。 * **可靠性:** 在测试环境中成功率接近 100%。 * **隐蔽性:** 失败时不会触发内核崩溃或系统不稳定。 * **持久性:** 影响跨越近 9 年的内核(2017-01-17 至 2026-05-10)。 --- ## 受影响的系统 (已验证) 以下发行版已测试并确认存在漏洞: * **Ubuntu:** 24.04.4 / 25.10 / 26.04 * **RHEL:** 10.1 * **openSUSE:** Tumbleweed * **CentOS Stream:** 10 * **AlmaLinux:** 10 * **Fedora:** 44 --- ## 概念验证 (PoC) ### 执行流程: ```bash # 编译利用工具 $ gcc -O2 kukurigu.c -o kukurigu_exploit # 对目标二进制文件运行利用 $ ./kukurigu_exploit --target /usr/bin/su --method esp [+] 初始化 Kukurigu LPE 引擎... [+] 利用 CVE-2026-43284 (xfrm-ESP 写入)... [+] 利用 CVE-2026-43500 (RxRPC 解密)... [+] 利用 CVE-2026-46300 (Fragnesia)... [+] 成功污染 /usr/bin/su 的页面缓存。 [+] 进入 root shell... # id uid=0(root) gid=0(root) groups=0(root) [+]利用: [href](https://github.com/nu11secur1ty/CVE-mitre/tree/main/2026/CVE-2026-43284-CVE-2026-43500) # 示例: [href](https://www.patreon.com/posts/cve-2026-43284-157962202) [href](https://www.patreon.com/posts/cve-2026-46300-k-158433402) # 如果需要修复: [href](https://www.patreon.com/posts/cve-2026-43284-157966167) # 耗时: 01:30:00 -- 系统管理员 - 基础设施工程师 渗透测试工程师 https://packetstormsecurity.com/ https://cve.mitre.org/index.html 的利用开发者 https://cxsecurity.com/ 和 https://www.exploit-db.com/ 主页: https://www.asc3t1c-nu11secur1ty.com/ hiPEnIMR0v7QCo/+SEH9gBclAAYWGnPoBIQ75sCj60E= nu11secur1ty<https://www.asc3t1c-nu11secur1ty.com/>
为这个问题投票:
50%
50%
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。