Уязвимость CVE-2026-46300, получившая название Fragnesia, позволяет непривилегированному локальному атакующему получить права root через повреждение страничного кэша ядра Linux. Баг затрагивает подсистему XFRM ESP-in-TCP и имеет оценку CVSS 7.8. Патч доступен, публичный эксплойт (PoC) опубликован, но активная эксплуатация в дикой природе на момент публикации не зафиксирована. Администраторам Linux-серверов, контейнерных платформ и облачных сред необходимо установить обновления ядра или применить обходные меры, аналогичные рекомендациям для Dirty Frag.
Технические детали уязвимости
Fragnesia была обнаружена исследователем Уильямом Боулингом из команды V12 Security. По данным исследователей, уязвимость представляет собой логическую ошибку в подсистеме XFRM ESP-in-TCP ядра Linux, которая позволяет выполнять произвольную запись байтов в страничный кэш ядра для файлов, доступных только на чтение. Ключевая особенность — эксплуатация не требует условий гонки (race condition), что делает атаку детерминированной и надёжной.
Как описывает Wiz, механизм атаки сводится к повреждению страничного кэша бинарного файла /usr/bin/su, что позволяет непривилегированному пользователю получить root-доступ. По данным V12 Security, в отличие от Dirty Frag, для эксплуатации Fragnesia не требуются привилегии на уровне хоста.
Fragnesia является отдельной уязвимостью от Dirty Frag и Copy Fail (CVE-2026-31431), но все три эксплуатируют одну и ту же поверхность атаки — подсистему ESP/XFRM — и используют схожий примитив записи в память для повышения привилегий. Для Fragnesia выпущен отдельный патч.
Затронутые системы
Бюллетени безопасности или записи в трекерах уязвимостей опубликованы для следующих дистрибутивов:
Статус эксплуатации
Команда V12 Security опубликовала рабочий PoC-эксплойт. Microsoft сообщила, что на момент публикации активной эксплуатации в дикой природе не наблюдалось. Тем не менее наличие публичного PoC существенно снижает порог входа для атакующих и делает оперативное патчирование критически важным.
Связь с предыдущими уязвимостями и контекст
Fragnesia — часть серии уязвимостей в подсистеме ESP/XFRM ядра Linux, обнаруженных за короткий период. Copy Fail (CVE-2026-31431) и Dirty Frag были раскрыты ранее, и все три бага эксплуатируют один и тот же компонент ядра для достижения записи в страничный кэш. Это указывает на системную проблему в обработке фрагментации пакетов ESP-in-TCP — область кода, которая, вероятно, потребует более глубокого аудита.
Принципиальное отличие Fragnesia от Dirty Frag, по данным Wiz, состоит в том, что для её эксплуатации не требуются привилегии на уровне хоста. Это расширяет круг потенциальных атакующих: уязвимость может быть использована из контейнера или от имени обычного пользователя без дополнительных условий.
Оценка воздействия
Уязвимость представляет высокий риск для следующих сценариев:
- Многопользовательские серверы — любой локальный пользователь с доступом к оболочке может получить root
- Контейнерные среды — при отсутствии дополнительной изоляции возможен выход из контейнера на уровень хоста
- Облачные инстансы — особенно критично для провайдеров, предоставляющих клиентам доступ к оболочке
- CI/CD-системы — выполнение произвольного кода в пайплайнах может привести к компрометации всей инфраструктуры сборки
Детерминированный характер эксплуатации (без необходимости условий гонки) делает атаку стабильной и воспроизводимой, что повышает вероятность её использования после появления публичного PoC.
Рекомендации по защите
Приоритет 1 — обновление ядра. Установите патчированное ядро для вашего дистрибутива. Ссылки на бюллетени приведены выше.
Приоритет 2 — обходные меры (если немедленное обновление невозможно):
- Отключите модули ядра
esp4,esp6и связанную функциональность XFRM/IPsec, если она не используется - Ограничьте доступ к локальной оболочке — минимизируйте количество пользователей с интерактивным доступом к системе
- Усильте изоляцию контейнерных рабочих нагрузок
- Настройте мониторинг аномальных событий повышения привилегий
По заявлению CloudLinux, организации, уже применившие обходные меры для Dirty Frag, защищены и от Fragnesia до выхода патчированных ядер. Red Hat проводит оценку применимости существующих мер к CVE-2026-46300.
По данным Wiz, ограничения AppArmor на непривилегированные пространства имён пользователей могут служить частичной мерой защиты, поскольку для успешной эксплуатации в этом случае потребуются дополнительные обходы. Однако полагаться исключительно на AppArmor не рекомендуется.
Три уязвимости повышения привилегий в одной подсистеме ядра за короткий период — сигнал о необходимости системного подхода к защите. Организациям следует не только установить текущий патч для CVE-2026-46300, но и отключить неиспользуемую функциональность ESP/XFRM на уровне политик конфигурации ядра, чтобы сократить поверхность атаки для потенциальных будущих уязвимостей в этом компоненте.
