Er zijn details naar voren gekomen over een nieuwe variant van de recente Dirty Frag Linux local privilege escalation (LPE) kwetsbaarheid waarmee lokale aanvallers root-toegang kunnen krijgen. Dit is de derde bug die binnen twee weken in de kernel wordt geïdentificeerd.
Codenaam Fragnesiawordt het beveiligingsprobleem bijgehouden als CVE-2026-46300 (CVSS-score: 7,8) en is het geworteld in het XFRM ESP-in-TCP-subsysteem van de Linux-kernel. Het werd ontdekt door onderzoeker William Bowling van het V12-beveiligingsteam.
“De kwetsbaarheid stelt onbevoegde lokale aanvallers in staat de alleen-lezen bestandsinhoud in de kernelpaginacache te wijzigen en rootrechten te verkrijgen via een deterministische paginacache-corruptieprimitief”, aldus Wiz, eigendom van Google.
Er zijn adviezen uitgebracht door meerdere Linux-distributies –
“Dit is een aparte bug in de ESP/XFRM van Dirty Frag die zijn eigen patch heeft gekregen”, aldus V12. “Het bevindt zich echter op hetzelfde oppervlak en de beperking is hetzelfde als voor Dirty Frag. Het misbruikt een logische bug in het Linux XFRM ESP-in-TCP-subsysteem om willekeurige byte-schrijfbewerkingen in de kernelpaginacache van alleen-lezen bestanden te bewerkstelligen, zonder dat er een raceconditie nodig is.”
Fragnesia is vergelijkbaar met Copy Fail en Dirty Frag (ook wel Copy Fail 2 genoemd) in die zin dat het onmiddellijk root oplevert voor alle belangrijke distributies door een geheugenschrijfprimitief in de kernel te bereiken en het paginacachegeheugen van het binaire bestand /usr/bin/su te corrumperen. Een proof-of-concept (PoC) exploit is vrijgegeven door V12.
“Klanten die de Dirty Frag-beperking al hebben toegepast, hoeven geen verdere actie te ondernemen totdat de gepatchte kernels zijn vrijgegeven”, aldus de beheerders van CloudLinux. Red Hat zei dat het een beoordeling uitvoert om te bevestigen of bestaande maatregelen zich uitstrekken tot CVE-2026-46300.
Wiz merkte ook op dat AppArmor-beperkingen op niet-bevoorrechte gebruikersnaamruimten kunnen dienen als een gedeeltelijke beperking, waardoor extra omzeilingen nodig zijn voor een succesvolle exploitatie. In tegenstelling tot Dirty Frag zijn er echter geen rechten op hostniveau vereist.
“Er is een patch beschikbaar en hoewel er op dit moment geen sprake is van misbruik, dringen we er bij gebruikers en organisaties op aan om de patch zo snel mogelijk toe te passen door updatetools uit te voeren”, aldus Microsoft. “Als patchen op dit moment niet mogelijk is, overweeg dan om dezelfde maatregelen toe te passen voor Dirty Frag.”
Dit omvat het uitschakelen van esp4, esp6 en gerelateerde xfrm/IPsec-functionaliteit, het beperken van onnodige lokale shell-toegang, het versterken van gecontaineriseerde werklasten en het verhogen van de monitoring van abnormale escalatie-activiteiten van bevoegdheden.
De ontwikkeling komt nadat is waargenomen dat een bedreigingsacteur met de naam “berz0k” op cybercriminaliteitsforums reclame maakt voor een zero-day Linux LPE-exploit voor $ 170.000, waarbij hij beweert dat deze werkt op meerdere grote Linux-distributies.
“De bedreigingsacteur beweert dat de kwetsbaarheid TOCTOU-gebaseerd is (Time-of-Check Time-of-Use), in staat is tot stabiele lokale escalatie van bevoegdheden zonder systeemcrashes te veroorzaken, en gebruik maakt van een gedeelde objectlading (.so) die in de map /tmp wordt neergezet”, zei ThreatMon in een bericht op X.
