Fragnesia: a treia vulnerabilitate critică din kernelul Linux în două săptămâni

 CVE-2026-46300 exploatează subsistemul XFRM ESP-in-TCP pentru a corumpe cache-ul de pagini și a obține root fără condiții de cursă — și reutilizează exact aceeași suprafață de atac ca Dirty Frag, ceea ce înseamnă că mitigările aplicate anterior sunt valabile și aici.

14 mai 2026·Securitate · Kernel Linux·~5 min citire

---

CVE-2026-46300

FRAGNESIA

Escaladare locală de privilegii — XFRM ESP-in-TCP

Descoperit de William Bowling (echipa V12 Security) · Confirmat și anunțat pe OSS Security de Sam James · PoC public funcțional disponibil

7.8

CVSS v3

Administratorii de sisteme Linux au trăit două săptămâni dificile. Copy Fail, Dirty Frag și acum Fragnesia — trei vulnerabilități critice de escaladare locală a privilegiilor, toate din aceeași clasă de bug-uri, toate cu dovezi de concept publice și funcționale. Fragnesia nu este un reanalizy al Dirty Frag, ci un bug distinct în aceeași suprafață funcțională a kernelului, descoperit independent de William Bowling din echipa V12 Security.

Tripticul vulnerabilităților — aceeași clasă, trei rute diferite

Copy FailCVSS 7.8

CVE-2026-31431

algif_aead (crypto)

Exploatat activ — CISA KEV. Descoperit cu AI (Xint Code) în ~1 oră.

Dirty FragCVSS 8.8

CVE-2026-43284 / 43500

IPsec ESP + RxRPC

Embargo rupt. Determinist, fără race condition. PoC public.

FragnesiaCVSS 7.8

CVE-2026-46300

XFRM ESP-in-TCP (espintcp)

Bug logic distinct, aceeași primitivă de scriere. PoC public.

Cum funcționează Fragnesia tehnic

Nucleul vulnerabilității se află în ruta ULP (Upper Layer Protocol) numită espintcp din subsistemul XFRM al kernelului — cadrul responsabil cu procesarea traficului IPsec. Scenariul specific de atac: un socket TCP trece în modul ESP-in-TCP după ce pagini de fișier au fost introduse în coada sa de recepție prin apeluri de sistem ca splice(2) sau sendfile(2).

Kernelul interpretează greșit acele pagini ca text cifrat ESP și aplică „decriptarea" AES-GCM direct asupra lor — modificând in-situ paginile din cache-ul de pagini care corespund unor fișiere marcate ca read-only. Controlând IV-ul (nonce) și ceilalți parametri, un utilizator neprivilegiat poate direcționa scrierile cu precizie deterministă.

1

Injectare pagini fișier în coada socket TCP

Atacatorul folosește splice(2) sau sendfile(2) pentru a introduce pagini din /usr/bin/su în coada de recepție a unui socket TCP.

2

Activare mod ESP-in-TCP pe socket

Socket-ul trece în mod espintcp. Kernelul tratează paginile de fișier deja prezente în coadă ca text cifrat ESP și aplică „decriptarea" AES-GCM direct asupra lor în page cache.

3

Scriere deterministă în page cache read-only

Controlând IV-ul și parametrii AES-GCM, atacatorul direcționează keystream-ul cu precizie. Rezultat: o primitivă de scriere de bytes arbitrari în pagini marcate ca imutabile — fără race condition, fără risc de kernel panic la eșec.

4

Injectare stub ELF în /usr/bin/su → root

PoC-ul public injectează un stub ELF de 192 bytes (position-independent) în copia din memoria cache a binarului su. Următoarea rulare a comenzii su execută stub-ul cu privilegii root.

$ ./fragnesia_poc # rulat ca utilizator neprivilegiat
[+] Page cache poisoned — /usr/bin/su modified in memory
$ su
[+] root shell obtained
#

Mitigare temporară — valabilă și pentru Dirty Frag

Vestea bună pentru cei care au aplicat deja mitigarea pentru Dirty Frag: Fragnesia exploatează aceleași module de kernel (esp4, esp6, rxrpc). Dacă blacklist-ul acestor module este deja activ, sistemul este protejat și împotriva Fragnesia fără pași suplimentari — până la instalarea kernelului cu patch.

# Mitigare temporară — blochează modulele vulnerabile și curăță page cache

printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \
  > /etc/modprobe.d/fragnesia.conf

rmmod esp4 esp6 rxrpc 2>/dev/null

# Curăță page cache pentru a elimina pagini corupte reziduale

echo 3 > /proc/sys/vm/drop_caches

⚠️ Atenție IPsec: Dezactivarea esp4/esp6 rupe tunelurile IPsec (strongSwan, Libreswan). Nu aplicați această mitigare pe hosturile care termină sau rutează trafic IPsec critic. Modulul rxrpc este folosit aproape exclusiv de clienți AFS și rareori este prezent pe servere web generaliste.

Un detaliu important adesea omis: dacă Fragnesia a fost deja exploatat înainte de aplicarea mitigării, page cache-ul poate conține copii modificate ale unor binare privilegiate — inclusiv altele decât /usr/bin/su. Comanda echo 3 > /proc/sys/vm/drop_caches forțează reîncărcarea binare din disc, eliminând paginile corupte din memorie. Operația elimină doar pagini curate și este sigură în producție, cu un impact temporar de I/O la disco.

Status distribuții

AlmaLinux — kernel patch disponibilCloudLinux — patch + livepatching KernelCareRed Hat / RHEL — evaluare în cursWiz — analiză: AppArmor mitigă parțialMicrosoft — fără exploatare activă confirmată

„Fragnesia demonstrează că o bucată mică de logică incorectă într-un subsistem specializat precum XFRM ESP-in-TCP poate avea consecințe devastatoare când se combină cu mecanismele de page cache și binare privilegiate."
— Pablinux, LinuxAdictos

Contextul pieței: exploatare scumpă, patch-oboseală reală

🛒 Piața de zero-day LPE Linux — mai 2026

Rapoarte recente descriu un actor sub aliasul „berz0k" care oferă un zero-day de escaladare locală Linux pe piața neagră pentru 170.000 USD — funcțional pe multiple distribuții, de tip TOCTOU (Time-of-Check Time-of-Use), cu escaladare stabilă fără căderi de sistem și payload sub formă de bibliotecă partajată .so în /tmp. Succesiunea Copy Fail → Dirty Frag → Fragnesia în mai puțin de două săptămâni alimentează o „patch-oboseală" reală în rândul echipelor de operații, unde reboot-urile frecvente au costuri ridicate — și face din soluțiile de livepatching (KernelCare și similare) o alternativă tot mai relevantă.