Вразливість CVE-2026-46300, що отримала назву Fragnesia, дозволяє непривілейованому локальному зловмиснику отримати права root через пошкодження сторінкового кешу ядра Linux. Баґ уражає підсистему XFRM ESP-in-TCP і має оцінку CVSS 7.8. Патч доступний, публічний експлойт (PoC) оприлюднено, але активної експлуатації «в дикій природі» на момент публікації не зафіксовано. Адміністраторам Linux-серверів, контейнерних платформ і хмарних середовищ слід встановити оновлення ядра або застосувати обхідні заходи, подібні до рекомендацій для Dirty Frag.
Технічні деталі вразливості
Fragnesia була виявлена дослідником Вільямом Боулингом із команди V12 Security. За даними дослідників, вразливість є логічною помилкою в підсистемі XFRM ESP-in-TCP ядра Linux, яка дає змогу виконувати довільний запис байтів у сторінковий кеш ядра для файлів, доступних лише для читання. Ключова особливість — експлуатація не потребує умов гонки (race condition), що робить атаку детермінованою та надійною.
Як описує Wiz, механізм атаки зводиться до пошкодження сторінкового кешу бінарного файла /usr/bin/su, що дає змогу непривілейованому користувачу отримати доступ root. За даними V12 Security, на відміну від Dirty Frag, для експлуатації Fragnesia не потрібні привілеї на рівні хоста.
Fragnesia є окремою вразливістю від Dirty Frag і Copy Fail (CVE-2026-31431), але всі три використовують одну й ту саму поверхню атаки — підсистему ESP/XFRM — і застосовують схожий примітив запису в пам’ять для підвищення привілеїв. Для Fragnesia випущено окремий патч.
Уражені системи
Бюлетені безпеки або записи в трекерах вразливостей опубліковано для таких дистрибутивів:
Статус експлуатації
Команда V12 Security оприлюднила робочий PoC-експлойт. Microsoft повідомила, що на момент публікації активної експлуатації «в дикій природі» не спостерігалося. Водночас наявність публічного PoC суттєво знижує поріг входу для зловмисників і робить оперативне встановлення патчів критично важливим.
Зв’язок із попередніми вразливостями та контекст
Fragnesia — частина серії вразливостей у підсистемі ESP/XFRM ядра Linux, виявлених за короткий проміжок часу. Copy Fail (CVE-2026-31431) і Dirty Frag були розкриті раніше, і всі три баґи експлуатують один і той самий компонент ядра для досягнення запису в сторінковий кеш. Це вказує на системну проблему в обробці фрагментації пакетів ESP-in-TCP — ділянка коду, якій, імовірно, знадобиться глибший аудит.
Принципова відмінність Fragnesia від Dirty Frag, за даними Wiz, полягає в тому, що для її експлуатації не потрібні привілеї на рівні хоста. Це розширює коло потенційних зловмисників: вразливість може бути використана з контейнера або від імені звичайного користувача без додаткових умов.
Оцінка впливу
Вразливість становить високий ризик для таких сценаріїв:
- Багатокористувацькі сервери — будь-який локальний користувач із доступом до оболонки може отримати root
- Контейнерні середовища — за відсутності додаткової ізоляції можливий вихід із контейнера на рівень хоста
- Хмарні інстанси — особливо критично для провайдерів, які надають клієнтам доступ до оболонки
- CI/CD-системи — виконання довільного коду в пайплайнах може призвести до компрометації всієї інфраструктури збірки
Детермінований характер експлуатації (без потреби в умовах гонки) робить атаку стабільною та відтворюваною, що підвищує ймовірність її використання після появи публічного PoC.
Рекомендації щодо захисту
Пріоритет 1 — оновлення ядра. Встановіть пропатчене ядро для свого дистрибутива. Посилання на бюлетені наведено вище.
Пріоритет 2 — обхідні заходи (якщо негайне оновлення неможливе):
- Вимкніть модулі ядра
esp4,esp6та пов’язану функціональність XFRM/IPsec, якщо вона не використовується - Обмежте доступ до локальної оболонки — мінімізуйте кількість користувачів з інтерактивним доступом до системи
- Посильте ізоляцію контейнерних робочих навантажень
- Налаштуйте моніторинг аномальних подій підвищення привілеїв
За заявою CloudLinux, організації, які вже застосували обхідні заходи для Dirty Frag, захищені й від Fragnesia до виходу пропатчених ядер. Red Hat проводить оцінку застосовності наявних заходів до CVE-2026-46300.
За даними Wiz, обмеження AppArmor на непривілейовані простори імен користувачів можуть слугувати частковим засобом захисту, оскільки для успішної експлуатації в такому разі знадобляться додаткові обхідні техніки. Втім, покладатися виключно на AppArmor не рекомендується.
Три вразливості підвищення привілеїв в одній підсистемі ядра за короткий проміжок часу — сигнал про необхідність системного підходу до захисту. Організаціям варто не лише встановити актуальний патч для CVE-2026-46300, а й вимкнути невикористовувану функціональність ESP/XFRM на рівні політик конфігурації ядра, щоб скоротити поверхню атаки для потенційних майбутніх вразливостей у цьому компоненті.
