Die Schwachstelle CVE-2026-46300, die den Namen Fragnesia erhalten hat, ermöglicht es einem nicht privilegierten lokalen Angreifer, sich über eine Beschädigung des Page Cache des Linux-Kernels Root-Rechte zu verschaffen. Der Bug betrifft die XFRM-Subsystem ESP-in-TCP und hat einen CVSS-Score von 7.8. Ein Patch ist verfügbar, ein öffentlicher Exploit (PoC) wurde veröffentlicht, doch zum Zeitpunkt der Veröffentlichung wurde keine aktive Ausnutzung in the wild beobachtet. Administratoren von Linux-Servern, Container-Plattformen und Cloud-Umgebungen müssen Kernel-Updates einspielen oder Workarounds anwenden, die den Empfehlungen für Dirty Frag ähneln.
Technische Details der Schwachstelle
Fragnesia wurde von dem Forscher William Bowling aus dem Team V12 Security entdeckt. Den Forschern zufolge handelt es sich um einen logischen Fehler in der XFRM-Subsystem ESP-in-TCP des Linux-Kernels, der eine beliebige Schreiboperation von Bytes in den Page Cache des Kernels für Dateien ermöglicht, die nur lesbar sind. Das entscheidende Merkmal: Die Ausnutzung erfordert keine Race Conditions, was den Angriff deterministisch und zuverlässig macht.
Wie Wiz beschreibt, läuft der Angriffsmechanismus darauf hinaus, den Page Cache der Binärdatei /usr/bin/su zu beschädigen, wodurch ein nicht privilegierter Benutzer Root-Zugriff erhalten kann. Nach Angaben von V12 Security werden im Unterschied zu Dirty Frag für die Ausnutzung von Fragnesia keine Privilegien auf Host-Ebene benötigt.
Fragnesia ist eine eigenständige Schwachstelle und unterscheidet sich von Dirty Frag und Copy Fail (CVE-2026-31431), doch alle drei nutzen dieselbe Angriffsfläche – die ESP/XFRM-Subsystem – aus und verwenden einen ähnlichen Schreib-Primiv in den Speicher, um Privilegien zu erhöhen. Für Fragnesia wurde ein eigener Patch veröffentlicht.
Betroffene Systeme
Sicherheitsbulletins oder Einträge in Schwachstellen-Trackern wurden für die folgenden Distributionen veröffentlicht:
Ausnutzungsstatus
Das Team von V12 Security hat einen funktionsfähigen PoC-Exploit veröffentlicht. Microsoft teilte mit, dass zum Zeitpunkt der Veröffentlichung keine aktive Ausnutzung in the wild beobachtet wurde. Dennoch senkt das Vorhandensein eines öffentlichen PoC die Einstiegshürde für Angreifer erheblich und macht ein zeitnahes Patchen kritisch wichtig.
Bezug zu früheren Schwachstellen und Kontext
Fragnesia ist Teil einer Serie von Schwachstellen in der ESP/XFRM-Subsystem des Linux-Kernels, die in kurzer Zeit entdeckt wurden. Copy Fail (CVE-2026-31431) und Dirty Frag wurden zuvor offengelegt, und alle drei Bugs nutzen dieselbe Kernel-Komponente aus, um Schreibzugriffe in den Page Cache zu erreichen. Dies weist auf ein systemisches Problem in der Verarbeitung der Fragmentierung von ESP-in-TCP-Paketen hin – ein Codeteil, der vermutlich einer tiefergehenden Prüfung bedarf.
Der grundlegende Unterschied von Fragnesia zu Dirty Frag besteht laut Wiz darin, dass für die Ausnutzung keine Privilegien auf Host-Ebene erforderlich sind. Dadurch erweitert sich der Kreis potenzieller Angreifer: Die Schwachstelle kann aus einem Container heraus oder im Kontext eines normalen Benutzers ohne zusätzliche Voraussetzungen ausgenutzt werden.
Auswirkungsbewertung
Die Schwachstelle stellt ein hohes Risiko in folgenden Szenarien dar:
- Mehrbenutzer-Server – jeder lokale Benutzer mit Shell-Zugriff kann Root-Rechte erlangen
- Container-Umgebungen – ohne zusätzliche Isolierung ist ein Escape aus dem Container auf den Host möglich
- Cloud-Instanzen – besonders kritisch für Provider, die Kunden Shell-Zugriff bereitstellen
- CI/CD-Systeme – die Ausführung beliebigen Codes in Pipelines kann zur Kompromittierung der gesamten Build-Infrastruktur führen
Der deterministische Charakter der Ausnutzung (ohne die Notwendigkeit von Race Conditions) macht den Angriff stabil und reproduzierbar, was die Wahrscheinlichkeit seines Einsatzes nach dem Erscheinen eines öffentlichen PoC erhöht.
Empfehlungen zum Schutz
Priorität 1 – Kernel-Update. Installieren Sie ein gepatchtes Kernel-Paket für Ihre Distribution. Links zu den Bulletins finden Sie oben.
Priorität 2 – Workarounds (falls ein sofortiges Update nicht möglich ist):
- Deaktivieren Sie die Kernel-Module
esp4,esp6und die zugehörige XFRM/IPsec-Funktionalität, sofern sie nicht genutzt wird - Beschränken Sie den Zugriff auf lokale Shells – minimieren Sie die Zahl der Benutzer mit interaktivem Zugriff auf das System
- Verstärken Sie die Isolierung containerisierter Workloads
- Richten Sie ein Monitoring für anomale Ereignisse zur Privilegienerweiterung ein
Nach Angaben von CloudLinux sind Organisationen, die bereits Workarounds für Dirty Frag umgesetzt haben, bis zur Verfügbarkeit gepatchter Kernel auch gegen Fragnesia geschützt. Red Hat bewertet derzeit, inwieweit bestehende Maßnahmen auf CVE-2026-46300 anwendbar sind.
Nach Einschätzung von Wiz können AppArmor-Einschränkungen für nicht privilegierte User Namespaces als teilweise Schutzmaßnahme dienen, da in diesem Fall zusätzliche Umgehungen erforderlich wären, um die Schwachstelle erfolgreich auszunutzen. Dennoch wird nicht empfohlen, sich ausschließlich auf AppArmor zu verlassen.
Drei Privilegieneskalations-Schwachstellen in einer Kernel-Subsystem innerhalb kurzer Zeit sind ein deutliches Signal für die Notwendigkeit eines systematischen Sicherheitsansatzes. Organisationen sollten nicht nur den aktuellen Patch für CVE-2026-46300 einspielen, sondern zudem ungenutzte ESP/XFRM-Funktionalität auf Ebene der Kernel-Konfigurationsrichtlinien deaktivieren, um die Angriffsfläche für potenzielle zukünftige Schwachstellen in dieser Komponente zu verringern.
