comment l'absence d'une protection copy-on-write a brisé le modèle de sécurité du noyau linux

Une stratégie de défense de plusieurs millions de dollars repose généralement sur l'hypothèse que le noyau du système d'exploitation central est un coffre-fort statique et impénétrable. Nous passons des années à affiner les règles de pare-feu, les fournisseurs d'identité et les scripts de détection des points de terminaison, pourtant la fondation architecturale reste souvent le composant le plus fragile. Linux utilise une optimisation appelée copy-on-write (copie sur écriture) pour gérer l'efficacité de la mémoire. Ce système garantit que plusieurs processus partagent la même mémoire physique jusqu'à ce que l'un d'eux ait besoin de la modifier. À ce moment-là, le noyau est censé créer une copie privée pour empêcher le changement d'affecter les autres utilisateurs. Dans le cas de la CVE-2026-31635, cette promesse fondamentale a échoué.

J'ai passé les dernières 48 heures à examiner le code de preuve de concept publié pour DirtyDecrypt, également connu sous le nom de DirtyCBC. La vulnérabilité est un exemple d'école de paradoxe architectural. Le mécanisme même conçu pour rendre le noyau Linux rapide et efficace en mémoire est celui qui a permis à un utilisateur non privilégié d'écraser des fichiers appartenant à root. Il s'agit de la troisième variation majeure de cette logique spécifique de corruption de mémoire que nous voyons en autant de mois. Cela me rappelle un navire construit avec une coque impénétrable de l'extérieur mais qui se dissout lorsqu'elle touche son propre carburant interne.

le fonctionnement de la vulnérabilité du cache de pages rxgk

Le défaut réside dans la fonction rxgk_decrypt_skb. Ce code gère le déchiffrement des tampons de socket entrants du côté réception de la pile réseau. Lorsque le noyau traite ces tampons, il manipule des pages mémoire qui sont parfois partagées avec le cache de pages d'autres processus. Dans des conditions normales, le noyau Linux déclenche une opération de copie sur écriture avant toute écriture sur une page partagée. Cela empêche les données d'un processus de déborder dans l'espace mémoire d'un autre.

Les chercheurs de Zellic ont découvert que rxgk_decrypt_skb manquait de cette protection COW. Lorsque le noyau déchiffre des données dans un tampon qui se trouve être une page partagée, il écrit le contenu déchiffré directement dans la mémoire physique sans créer de copie privée au préalable. Cela contourne les autorisations standard du système de fichiers et les protections de la mémoire. Un attaquant peut mapper un fichier sensible comme /etc/shadow ou un binaire SUID dans son espace mémoire, puis utiliser le chemin réseau vulnérable pour forcer le noyau à écrire des données dans le cache de pages de ce fichier. Une fois que le noyau vide le cache de pages sur le disque, la modification devient permanente.

retracer la lignée de copy fail à dirtydecrypt

DirtyDecrypt n'est pas un incident isolé. C'est un descendant d'une famille de vulnérabilités qui a commencé avec Copy Fail (CVE-2026-31431) en avril 2026. Les chercheurs de Theori ont d'abord identifié que l'interface de socket cryptographique dans le noyau présentait des failles logiques similaires. Une semaine plus tard, Dirty Frag a émergé. Elle a été suivie par Fragnesia, qui visait le sous-système XFRM. Chacune de ces vulnérabilités partage la même cause profonde : un échec de vérification de la propriété de la page avant d'effectuer des écritures au niveau du noyau.

Cette séquence de divulgations met en lumière un problème systémique dans la manière dont le noyau Linux gère les optimisations modernes de la mémoire réseau. L'introduction de MSG_SPLICE_PAGES et d'autres mécanismes "zero-copy" haute performance a introduit une complexité que l'infrastructure COW actuelle peine à réguler. Le chercheur connu sous le nom de 0xdeadbeefnetwork a noté qu'une fois qu'un correctif pour une variante arrive dans l'arbre public, l'exploitation de la variante suivante devient un exercice standard pour les professionnels de la sécurité. Ce cycle rapide de développement n-day rappelle qu'un correctif dans un sous-système ne garantit pas la sécurité d'un autre utilisant une logique similaire.

pourquoi certaines distributions restent dans la ligne de mire

L'impact de la CVE-2026-31635 dépend fortement de la configuration du noyau. La vulnérabilité nécessite que l'option CONFIG_RXGK soit activée. C'est pourquoi des distributions comme Fedora, Arch Linux et openSUSE Tumbleweed présentent un risque plus élevé. Ces distributions privilégient souvent les fonctionnalités de pointe et un support matériel plus large, ce qui inclut l'activation de modules réseau et cryptographiques spécialisés qui sont désactivés dans les versions d'entreprise plus conservatrices comme RHEL ou Debian Stable.

Dans les environnements cloud, cette vulnérabilité présente un risque important pour l'isolation des conteneurs. Si un nœud de travail exécute un noyau vulnérable, un conteneur compromis peut utiliser la primitive DirtyDecrypt pour s'échapper de son environnement local. En écrasant le cache de pages pour des binaires partagés ou des structures de noyau, l'attaquant peut passer d'un pod restreint à un accès root complet sur l'hôte. Cela effondre efficacement le modèle de sécurité multi-tenant sur lequel reposent Kubernetes et d'autres orchestrateurs pour l'isolation des charges de travail.

le débat sur le killswitch et l'avenir des correctifs du noyau

Le volume de divulgations concernant le noyau a forcé une remise en question de la gestion de la sécurité Linux. Sasha Levin, un mainteneur de noyau de premier plan, a récemment proposé un "killswitch" pour le noyau. Cet outil permet à un administrateur de désactiver une fonction spécifique du noyau au moment de l'exécution sans redémarrage. Si une vulnérabilité zero-day comme DirtyDecrypt est découverte dans une fonction réseau spécifique, l'administrateur peut ordonner au noyau d'arrêter l'exécution de cette fonction et de renvoyer une valeur fixe à la place. Cela agit comme une soupape d'arrêt d'urgence pour la coque du navire pendant qu'un correctif permanent est préparé.

Certains développeurs s'inquiètent des implications sécuritaires du killswitch lui-même. Si un attaquant obtient suffisamment de privilèges pour activer le killswitch, il pourrait théoriquement désactiver des modules de sécurité ou des fonctions d'audit. Cependant, la réalité actuelle de l'écosystème Linux est que le déploiement des correctifs est trop lent par rapport à la vitesse du développement d'exploits modernes. Le killswitch offre une mesure réactive pour les organisations qui ne peuvent pas attendre un test de régression complet d'une nouvelle version du noyau. C'est une réponse pragmatique au fait que nos logiciels sont de plus en plus trop complexes pour être exempts de bogues.

rocky linux et le passage vers des correctifs de sécurité accélérés

Rocky Linux a adopté une approche différente en introduisant un dépôt de sécurité dédié. Traditionnellement, les distributions en aval attendent que les fournisseurs en amont publient un correctif validé avant d'envoyer des mises à jour à leurs utilisateurs. Cela crée une fenêtre de vulnérabilité lorsqu'un PoC est public mais que la mise à jour officielle est bloquée dans un cycle d'assurance qualité. Le nouveau dépôt de sécurité de Rocky Linux est une fonctionnalité optionnelle qui livre des correctifs urgents dès qu'ils sont disponibles, même s'ils n'ont pas encore atteint le noyau principal.

Cette initiative est controversée car elle rompt la compatibilité stricte avec l'amont. Si l'équipe de Rocky Linux corrige un bogue et que les mainteneurs en amont choisissent plus tard un correctif différent, les deux noyaux divergeront. Les mainteneurs reconnaissent ce risque mais estiment que la protection de leurs utilisateurs est plus importante qu'un alignement parfait des versions. Cela reflète un changement plus large dans l'industrie vers la priorité à l'agilité face à l'exploitation active. Pour les administrateurs, cela signifie un choix entre la stabilité du cycle de publication traditionnel et la résilience d'une stratégie de correction plus agressive.

atténuer les risques dans les environnements conteneurisés et bare-metal

Se défendre contre la CVE-2026-31635 nécessite plus qu'une simple mise à jour standard. Les organisations doivent d'abord vérifier si leurs systèmes sont vulnérables. Vérifier la configuration du noyau pour CONFIG_RXGK est la première étape. Si le module est activé mais non requis pour votre charge de travail, le désactiver via une liste noire de modules du noyau est l'atténuation immédiate la plus efficace. Cela supprime entièrement la surface d'attaque sans nécessiter de redémarrage dans certains cas.

Du point de vue des risques, vous devez supposer que les utilisateurs locaux ont la capacité d'exécuter ce PoC s'ils ont un accès shell. Cela rend essentiel une surveillance stricte du répertoire /etc/ et des binaires SUID. Les outils de sécurité modernes qui surveillent l'intégrité du cache de pages peuvent vous alerter si un processus tente de modifier des fichiers en lecture seule via des chemins de mémoire non conventionnels. Le correctif reste la règle d'or, mais jusqu'à ce que votre parc soit mis à jour, des profils Seccomp restrictifs et des politiques AppArmor peuvent limiter la capacité des processus locaux à interagir avec les fonctions réseau vulnérables.

Auditez la configuration de votre noyau et vérifiez si votre distribution a publié un correctif pour la CVE-2026-31635. Les organisations utilisant Arch ou Fedora devraient prioriser ces mises à jour immédiatement. Si vous gérez un parc important de serveurs Linux, considérez les implications à long terme de l'utilisation de noyaux avec de larges ensembles de fonctionnalités et évaluez si une configuration de noyau plus durcie et minimale est appropriée pour votre posture de sécurité.

Sources

• NIST National Vulnerability Database (NVD) CVE-2026-31635 Record
• Linux Kernel Mailing List (LKML) Killswitch Proposal by Sasha Levin
• Zellic and V12 Security Technical Report on DirtyDecrypt
• Rocky Linux Security Repository Documentation
• MITRE ATT&CK Framework: Exploitation for Privilege Escalation (T1068)

Avertissement : Cet article est fourni à titre informatif et éducatif uniquement. Il ne remplace pas un audit de cybersécurité professionnel ou un service de réponse aux incidents. Les détails techniques fournis sont destinés à aider les administrateurs à comprendre les risques et à mettre en œuvre les défenses nécessaires.