Dirty Frag ist eine im Mai 2026 veröffentlichte Schwachstellenklasse im Linux-Kernel. Sie ermöglicht unter bestimmten Bedingungen eine lokale Rechteausweitung bis auf Root-Ebene. Für Sophos Kunden besonders wichtig: Die meisten Sophos Produkte wurden geprüft und gelten laut Sophos Advisory als nicht betroffen. Eine gesonderte Einordnung gibt es für Sophos NDR als separate Appliance bzw. NDR Sensor. Damit ist nicht die Sophos Firewall gemeint.
Key Takeaways
- Dirty Frag bezeichnet eine lokale Rechteausweitung im Linux-Kernel.
- Die Schwachstellen werden aktuell mit CVE-2026-43284 und CVE-2026-43500 geführt.
- Ein Angriff erfordert lokalen Zugriff auf das betroffene System.
- Sophos Firewall, Sophos Central, Sophos Endpoint, Sophos Email, Sophos UTM, Sophos RED, Sophos Switch und Sophos Wireless gelten laut Sophos Advisory als nicht betroffen.
- Sophos NDR als separate Appliance beziehungsweise NDR Sensor wird separat betrachtet. Das betrifft nicht die Sophos Firewall selbst. Laut Sophos Community erfolgt die Absicherung mit Version 2.1.0.
- Linux-Administratoren sollten Kernel-Updates priorisieren und lokale Zugriffsmöglichkeiten prüfen.
Was ist Dirty Frag?
Dirty Frag ist der Name einer Schwachstellenklasse im Linux-Kernel. Öffentlich bekannt wurde sie am 7. Mai 2026. Technisch betrifft das Problem netzwerkbezogene Kernel-Komponenten, insbesondere Bereiche rund um xfrm-ESP und RxRPC. Diese Komponenten stehen unter anderem mit IPsec-Funktionalität und speziellen Netzwerkprotokollen in Verbindung.
Das Problem liegt nicht in einer klassischen Anwendung, sondern tief im Betriebssystemkern. Dadurch ist Dirty Frag besonders relevant für Linux-Server, Container-Hosts, virtuelle Linux-Systeme und Appliances, die betroffene Kernel-Funktionen nutzen. Ein erfolgreicher Angriff kann es einem lokalen, nicht privilegierten Benutzer ermöglichen, kontrollierte Änderungen am Kernel Page Cache vorzunehmen.
Im Ergebnis kann ein Angreifer geschützte Dateien im Speicher manipulieren und seine Rechte auf Root-Ebene ausweiten. Dirty Frag ist damit keine klassische Remote-Code-Execution-Schwachstelle. Ein direkter Angriff aus dem Internet ist nicht der typische Angriffsweg. Kritisch ist die Schwachstelle trotzdem, weil sie nach einem ersten Einbruch zur vollständigen Übernahme eines Linux-Systems genutzt werden kann.
Experteneinschätzung: Dirty Frag ist vor allem als Post-Compromise-Risiko relevant. Wer bereits lokalen Zugriff auf ein Linux-System erlangt hat, kann die Schwachstelle zur Rechteausweitung nutzen. Deshalb sind Patch-Management, Härtung lokaler Zugänge und Detection gleichermaßen wichtig.
CVE-2026-43284 und CVE-2026-43500: Einordnung
In der öffentlichen Berichterstattung wird Dirty Frag häufig mit CVE-2026-43284 genannt. Vollständig betrachtet besteht die Dirty-Frag-Kette jedoch aus zwei Schwachstellen:
- CVE-2026-43284: Schwachstelle im Bereich xfrm-ESP beziehungsweise IPsec ESP.
- CVE-2026-43500: Schwachstelle im Bereich RxRPC.
Zum Zeitpunkt der ersten Veröffentlichung waren die CVE-Zuweisungen noch nicht überall einheitlich sichtbar. Deshalb führt das Sophos Security Advisory die CVE-Angabe weiterhin als N/A. Andere Sicherheitsquellen ordnen Dirty Frag inzwischen jedoch CVE-2026-43284 und CVE-2026-43500 zu.
Wie funktioniert der Angriff?
Dirty Frag setzt lokalen Zugriff voraus. Ein Angreifer benötigt also bereits eine Möglichkeit, Code auf dem betroffenen System auszuführen. Das kann zum Beispiel über ein kompromittiertes SSH-Konto, eine Webshell, einen missbrauchten Dienst-Account oder einen vorherigen Einbruch in eine Anwendung erfolgen.
Nach diesem ersten Zugriff kann Dirty Frag genutzt werden, um Rechte auszuweiten. Durch fehlerhafte Verarbeitung in Kernel-Pfaden können Angreifer kontrollierte Änderungen an der Page Cache Repräsentation geschützter Dateien vornehmen. Werden die betroffenen Codepfade geschickt kombiniert, kann daraus eine zuverlässige lokale Rechteausweitung bis zu Root entstehen.
Warum ist Dirty Frag gefährlich?
- Die Schwachstelle betrifft zentrale Linux-Kernel-Funktionen.
- Der Angriff kann nach einem ersten Einbruch zur vollständigen Systemübernahme führen.
- Betroffen sein können viele Linux-Distributionen und Kernel-Versionen.
- Container-Hosts, Multi-User-Systeme und virtuelle Linux-Umgebungen verdienen besondere Aufmerksamkeit.
- Öffentliche Exploit-Informationen erhöhen den Handlungsdruck.
Welche Sophos Produkte sind betroffen?
Sophos hat mehrere Produkte und Dienste gegen Dirty Frag geprüft. Das Ergebnis ist für die meisten Kunden beruhigend: Die im Advisory genannten Produkte gelten als nicht betroffen. Der Grund ist je nach Produkt unterschiedlich. Teilweise ist die betroffene Komponente nicht vorhanden. Teilweise liegt der verwundbare Code nicht im ausführbaren Pfad.
| Produkt oder Dienst | Status | Einordnung |
|---|---|---|
| Cloud Optix | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| SG UTM | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Sophos Central | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Sophos Endpoint Protection für Windows | Nicht betroffen | Betroffene Komponente nicht vorhanden. |
| Sophos Endpoint Protection für macOS | Nicht betroffen | Betroffene Komponente nicht vorhanden. |
| Sophos Endpoint Protection für Linux | Nicht betroffen | Betroffene Komponente laut Sophos nicht vorhanden. |
| Sophos Email | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Sophos Firewall | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| SophosConnect Client | Nicht betroffen | Betroffene Komponente nicht vorhanden. |
| Sophos Home | Nicht betroffen | Betroffene Komponente nicht vorhanden. |
| Sophos Integration Appliance | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| SophosLabs Intelix | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Sophos Mobile | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Sophos RED | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Sophos AP/APX | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Sophos Wireless | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Sophos DNS Protection | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Sophos Switch | Nicht betroffen | Betroffene Funktion nicht relevant im Ausführungspfad. |
| AV Engine | Nicht betroffen | Betroffene Komponente nicht vorhanden. |
| Taegis | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Taegis Log Collector | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Taegis NDR | Nicht betroffen | Verwundbarer Code nicht im Ausführungspfad. |
| Sophos NDR Appliance / NDR Sensor | Betroffen, Update verfügbar | Separate NDR-Komponente. Virtuelle Appliance oder Image für dedizierte Hardware. Nicht die Sophos Firewall. Absicherung laut Sophos Community mit Version 2.1.0. |
Besonders wichtig für Firewalls24 Kunden:
Sophos XGS Firewalls und Sophos Firewall OS sind laut Sophos Advisory nicht von Dirty Frag betroffen. Auch Sophos Central und Sophos Endpoint werden im Advisory als nicht betroffen geführt.
Sonderfall Sophos NDR Appliance / NDR Sensor
Ein Sonderfall ist Sophos NDR in Form einer separaten Appliance beziehungsweise eines Sensors. Damit ist keine Sophos Firewall gemeint. Gemeint ist die NDR-Komponente, die als virtuelle Appliance bereitgestellt wird oder als Image auf einer dedizierten Hardware-Appliance läuft.
Diese NDR Appliance sammelt Netzwerktelemetrie aus dem Netzwerk und leitet sie an Sophos Central weiter. Die Bezeichnung kann leicht missverstanden werden, weil „Appliance“ im Sophos-Umfeld häufig mit Firewall-Hardware verbunden wird. In diesem Fall geht es jedoch nicht um eine Sophos XGS Firewall und auch nicht um ein NDR-Modul direkt auf der Firewall.
Laut Sophos Community ist diese NDR Appliance für Dirty Frag verwundbar. Der Angriffsvektor wird jedoch als niedrig bewertet, da die Appliance normalerweise nicht öffentlich erreichbar sein sollte. Sophos adressiert die Schwachstelle mit Version 2.1.0.
Wer Sophos NDR als separate NDR-Integration betreibt, sollte daher prüfen, ob die NDR Appliance beziehungsweise der NDR Sensor bereits auf Version 2.1.0 aktualisiert wurde. Sophos Firewalls selbst sind davon nicht betroffen.
Was sollten NDR-Kunden prüfen?
- Ist die separate NDR Appliance beziehungsweise der NDR Sensor mit Sophos Central verbunden?
- Kann die Appliance Updates empfangen?
- Wird bereits Version 2.1.0 angezeigt?
- Ist die Appliance nicht aus dem Internet erreichbar?
- Sind Firewall-Regeln so gesetzt, dass nur notwendige Verwaltungs- und Update-Verbindungen erlaubt sind?
Wenn die Appliance Version 2.1.0 oder höher nutzt, gelten die entsprechenden Patches laut Sophos Community als angewendet.
Was sollten Administratoren jetzt tun?
Auch wenn zentrale Sophos Produkte laut Advisory nicht betroffen sind, sollten IT-Teams Dirty Frag nicht ignorieren. Die Schwachstelle betrifft Linux-Systeme allgemein. Unternehmen sollten daher Server, Container-Hosts, Appliances anderer Hersteller und Linux-Workstations prüfen.
Empfohlene Maßnahmen
- Kernel-Updates einspielen: Prüfen Sie die Advisories Ihrer Linux-Distribution und installieren Sie verfügbare Kernel-Patches.
- Lokale Zugänge reduzieren: Entfernen Sie unnötige Shell-Zugänge und prüfen Sie SSH-Berechtigungen.
- Service-Accounts härten: Niedrig privilegierte Konten sollten keine unnötigen lokalen Rechte besitzen.
- Container-Hosts priorisieren: Hosts mit untrusted Workloads oder vielen Containern sollten besonders schnell geprüft werden.
- IPsec und RxRPC bewerten: Prüfen Sie, ob esp4, esp6 oder rxrpc benötigt werden. Eine Deaktivierung kann Schutz bieten, kann aber IPsec VPN oder AFS beeinträchtigen.
- Monitoring verbessern: Achten Sie auf ungewöhnliche su-, sudo-, setuid- oder Shell-Aktivitäten.
- Sophos NDR Appliance aktualisieren: Prüfen Sie bei separaten Sophos NDR Appliances beziehungsweise NDR Sensoren die Version 2.1.0.
Wichtig: Eine pauschale Deaktivierung von Kernel-Modulen sollte nicht unüberlegt erfolgen. Wer IPsec VPNs, Site-to-Site-Tunnel oder spezielle Dateisystemfunktionen nutzt, muss mögliche Auswirkungen vorher bewerten.
Einordnung für Unternehmen
Dirty Frag zeigt erneut, warum reine Perimeter-Sicherheit nicht ausreicht. Ein Angreifer muss zwar zunächst lokalen Zugriff erhalten. Genau dieser erste Zugriff entsteht in der Praxis jedoch häufig über bekannte Wege: unsichere SSH-Zugänge, ungepatchte Webanwendungen, Phishing, kompromittierte Zugangsdaten oder schlecht isolierte Container-Workloads.
Unternehmen sollten Dirty Frag daher als Anlass nutzen, ihre Linux-Sicherheitsstrategie zu prüfen. Dazu gehören ein belastbares Patch-Management, restriktive Zugriffsrechte, Endpoint-Schutz, Log-Auswertung und eine schnelle Erkennung verdächtiger Aktivitäten. In Sophos-Umgebungen können Sophos Endpoint, Sophos MDR, Sophos XDR und Sophos Firewall dabei helfen, Angriffe früher zu erkennen und Folgeaktivitäten einzugrenzen.
Für Umgebungen mit Sophos NDR gilt zusätzlich: Die separate NDR Appliance beziehungsweise der NDR Sensor sollte erreichbar sein, damit Updates über Sophos Central bezogen werden können. Das betrifft nicht die Sophos Firewall selbst.
Praxis-Hinweis: Dirty Frag ist kein Grund zur Panik für Sophos Firewall oder Sophos Central Kunden. Es ist aber ein guter Anlass, Linux-Systeme im gesamten Unternehmen zu inventarisieren, Patches zu priorisieren und lokale Zugriffspfade zu reduzieren.
Fazit
Dirty Frag ist eine ernstzunehmende Linux-Kernel-Schwachstellenkette zur lokalen Rechteausweitung. Im Fokus stehen CVE-2026-43284 und CVE-2026-43500. Ein Angriff erfordert lokalen Zugriff, kann danach aber zur Ausweitung bis auf Root-Rechte führen.
Für Sophos Kunden fällt die Bewertung überwiegend positiv aus: Laut Sophos Advisory sind zentrale Produkte wie Sophos Firewall, Sophos Central, Sophos Endpoint, Sophos Email, Sophos RED, Sophos Switch, Sophos Wireless und SG UTM nicht betroffen.
Eine besondere Prüfung verdient nur Sophos NDR als separate Appliance beziehungsweise NDR Sensor. Dabei handelt es sich nicht um die Sophos Firewall. Wer Sophos NDR in dieser Form betreibt, sollte sicherstellen, dass Version 2.1.0 installiert ist.
Unabhängig davon sollten Unternehmen ihre allgemeinen Linux-Systeme prüfen, Kernel-Updates zeitnah einspielen und lokale Zugriffsmöglichkeiten konsequent einschränken. Dirty Frag ist weniger ein klassischer Remote-Exploit, sondern vor allem ein gefährlicher Verstärker nach einem ersten erfolgreichen Einbruch.
info FAQ: Häufige Fragen zu Dirty Frag & Sophos arrow_drop_down
FAQ zu Dirty Frag und Sophos
Was ist Dirty Frag?
Dirty Frag ist eine Schwachstellenkette im Linux-Kernel, die lokale Rechteausweitung ermöglichen kann. Ein lokaler Angreifer kann unter bestimmten Bedingungen Root-Rechte auf einem betroffenen Linux-System erlangen.
Welche CVE-Nummern gehören zu Dirty Frag?
Dirty Frag wird aktuell mit CVE-2026-43284 und CVE-2026-43500 geführt. CVE-2026-43284 betrifft den xfrm-ESP beziehungsweise IPsec-ESP-Bereich. CVE-2026-43500 betrifft RxRPC.
Sind Sophos Firewalls von Dirty Frag betroffen?
Nein. Laut Sophos Security Advisory sind Sophos Firewall und SG UTM nicht betroffen, da der verwundbare Code nicht im Ausführungspfad liegt.
Ist Sophos Endpoint von Dirty Frag betroffen?
Nein. Sophos Endpoint Protection für Windows, macOS und Linux wird im Sophos Advisory als nicht betroffen geführt.
Ist Sophos Central von Dirty Frag betroffen?
Nein. Sophos Central wird im Sophos Advisory als nicht betroffen aufgeführt, da der verwundbare Code nicht im Ausführungspfad liegt.
Ist Sophos Email von Dirty Frag betroffen?
Nein. Sophos Email wird im Sophos Advisory als nicht betroffen geführt, da der verwundbare Code nicht im Ausführungspfad liegt.
Ist eine Sophos Firewall mit NDR von Dirty Frag betroffen?
Nein. Die Sophos Firewall selbst ist laut Sophos Advisory nicht betroffen. Der separat betrachtete Fall betrifft nicht die Firewall, sondern die eigenständige Sophos NDR Appliance beziehungsweise den NDR Sensor.
Was ist mit Sophos NDR Appliance gemeint?
Mit Sophos NDR Appliance ist die separate NDR-Komponente für Sophos Network Detection and Response gemeint. Diese kann als virtuelle Appliance bereitgestellt werden oder als Image auf einer dedizierten Hardware-Appliance laufen. Sie sammelt Netzwerktelemetrie und leitet diese an Sophos Central weiter. Es handelt sich nicht um eine Sophos Firewall.
Ist die Sophos NDR Appliance von Dirty Frag betroffen?
Laut Sophos Community ist die separate Sophos NDR Appliance beziehungsweise der NDR Sensor verwundbar. Der Angriffsvektor ist jedoch niedrig, da diese Komponente normalerweise nicht öffentlich erreichbar sein sollte. Die Absicherung erfolgt mit Version 2.1.0.
Müssen Sophos Kunden wegen Dirty Frag handeln?
Für die im Sophos Advisory als nicht betroffen gelisteten Produkte besteht kein direkter Handlungsbedarf. Administratoren sollten jedoch allgemeine Linux-Systeme, Container-Hosts und Appliances anderer Hersteller prüfen und verfügbare Kernel-Updates installieren. Wer eine separate Sophos NDR Appliance betreibt, sollte Version 2.1.0 prüfen.
Kann Dirty Frag aus dem Internet ausgenutzt werden?
Dirty Frag ist keine klassische Remote-Code-Execution-Schwachstelle. Der Angriff setzt lokalen Zugriff auf das System voraus. Gefährlich ist Dirty Frag vor allem nach einem ersten Einbruch, da Angreifer damit ihre Rechte auf Root-Ebene ausweiten können.
