Нова Fragnesia Linux Kernel LPE ранливост овозможува root пристап преку корупција на page cache

Објавени се детали за нова варијанта на неодамнешната Dirty Frag Linux локална ранливост за ескалација на привилегии (LPE), која им овозможува на локални напаѓачи да добијат root пристап, што ја прави трета ваква грешка идентификувана во кернелот во период од само две недели.

Под кодното име Fragnesia, безбедносната ранливост се следи како CVE-2026-46300 (CVSS оценка: 7.8) и потекнува од XFRM ESP-in-TCP подсистемот на Linux кернелот. Таа е откриена од истражувачот William Bowling од безбедносниот тим V12.

„Ранливоста им овозможува на непривилегирани локални напаѓачи да ја изменат содржината на read-only датотеки во kernel page cache и да добијат root привилегии преку детерминистичка page-cache corruption техника“, соопшти Wiz, компанија во сопственост на Google.

Повеќе Linux дистрибуции веќе објавија безбедносни известувања:

• AlmaLinux
• Amazon Linux
• CloudLinux
• Debian
• Gentoo
• Red Hat Enterprise Linux
• SUSE
• Ubuntu

„Ова е посебна грешка во ESP/XFRM различна од Dirty Frag и има сопствена закрпа“, изјави V12. „Сепак, се наоѓа на истата површина за напад и мерката за ублажување е иста како кај Dirty Frag. Таа злоупотребува логичка грешка во Linux XFRM ESP-in-TCP подсистемот за да овозможи произволно запишување бајти во kernel page cache на read-only датотеки, без потреба од race condition.“

Fragnesia е слична на Copy Fail и Dirty Frag (позната и како Copy Fail 2) по тоа што веднаш овозможува root пристап на сите главни дистрибуции преку добивање primitive за запишување во меморијата на кернелот и корупција на page cache меморијата на бинарната датотека /usr/bin/su. V12 објави и proof-of-concept (PoC) exploit.

„Корисниците кои веќе ја примениле мерката за ублажување на Dirty Frag не треба да преземат дополнителни активности сè додека не бидат објавени закрпени кернели“, соопштија од CloudLinux. Red Hat изјави дека врши проценка за да потврди дали постојните мерки за заштита важат и за CVE-2026-46300.

Wiz исто така посочи дека AppArmor ограничувањата за непривилегирани user namespaces може да служат како делумна заштита, при што за успешна експлоатација би биле потребни дополнителни техники за заобиколување. Сепак, за разлика од Dirty Frag, не се потребни привилегии на ниво на хост систем.

„Достапна е закрпа, и иако засега не е забележана експлоатација во реални услови, ги повикуваме корисниците и организациите што е можно побрзо да ја применат закрпата преку алатките за ажурирање“, соопшти Microsoft. „Доколку моментално не е можно ажурирање, размислете за примена на истите мерки за ублажување како кај Dirty Frag.“

Ова вклучува:

• оневозможување на esp4, esp6 и поврзаните xfrm/IPsec функционалности,
• ограничување на непотребен локален shell пристап,
• зацврстување на containerized workloads,
• и зголемен мониторинг за необични активности поврзани со ескалација на привилегии.

Овој развој доаѓа во време кога заканувачки актер со псевдонимот „berz0k“ бил забележан како рекламира zero-day Linux LPE exploit на форуми за сајбер-криминал по цена од 170.000 долари, тврдејќи дека работи на повеќе главни Linux дистрибуции.

„Заканувачкиот актер тврди дека ранливоста е базирана на TOCTOU (Time-of-Check Time-of-Use), овозможува стабилна локална ескалација на привилегии без предизвикување падови на системот и користи shared object (.so) payload сместен во /tmp директориумот“, објави ThreatMon на X.

Извори:

• The Hacker News – New Fragnesia Linux Kernel LPE Grants Root Access via Page Cache Corruption The Hacker News