Fragnesia (CVE-2026-46300): nowa luka w jądrze Linux umożliwia eskalację uprawnień do root - Security Bez Tabu

Fragnesia (CVE-2026-46300): nowa luka w jądrze Linux umożliwia eskalację uprawnień do root

Cybersecurity news

Wprowadzenie do problemu / definicja

Fragnesia to nowo ujawniona podatność lokalnej eskalacji uprawnień w jądrze Linux, oznaczona jako CVE-2026-46300. Luka dotyczy obsługi XFRM ESP-in-TCP i może pozwolić nieuprzywilejowanemu użytkownikowi na uzyskanie uprawnień root poprzez kontrolowaną korupcję page cache jądra.

To istotne zagrożenie dla środowisk linuksowych, ponieważ atak nie wymaga dostępu zdalnego ani skomplikowanych warunków wyścigu. W praktyce wystarczy możliwość lokalnego uruchomienia kodu na podatnym systemie, aby rozpocząć próbę eskalacji uprawnień.

W skrócie

  • Fragnesia została oznaczona jako CVE-2026-46300 i oceniona jako podatność wysokiego ryzyka.
  • Błąd umożliwia lokalnemu atakującemu modyfikację zawartości plików tylko do odczytu znajdujących się w page cache.
  • Publicznie ujawniono analizę techniczną oraz kod proof-of-concept, co zwiększa ryzyko szybkiego wykorzystania luki.
  • Problem został zgłoszony w maju 2026 roku, a dostawcy dystrybucji zaczęli publikować poprawki i komunikaty bezpieczeństwa.

Kontekst / historia

Fragnesia pojawia się w okresie wzmożonej uwagi wokół błędów lokalnej eskalacji uprawnień w jądrze Linux. Podobnie jak wcześniejsze przypadki, podatność pokazuje, że naruszenie integralności pamięci jądra lub cache plików może prowadzić do pełnego przejęcia systemu.

W tym przypadku badacze wskazują na odrębny błąd logiczny w ścieżce obsługi sieciowej i kryptograficznej. To ważne rozróżnienie, ponieważ choć luka przypomina wcześniejsze klasy podatności związanych z page cache, posiada własny identyfikator CVE i wymaga osobnej ścieżki łatania.

Znaczenie problemu zwiększa fakt, że podatny kod dotyczy mechanizmów obecnych w jądrze Linux nawet wtedy, gdy organizacja nie korzysta aktywnie z danego scenariusza IPsec over TCP. W wielu środowiskach odpowiednie komponenty mogą być dostępne jako moduły lub pozostawać aktywne w zależności od konfiguracji systemu.

Analiza techniczna

Technicznie Fragnesia wykorzystuje błąd logiczny w implementacji ESP-in-TCP w podsystemie XFRM. Sedno problemu polega na nieprawidłowej obsłudze współdzielonych fragmentów stron podczas koalescencji buforów sieciowych.

W określonym przebiegu wykonania dane powiązane z plikami mogą trafić do kolejki odbiorczej TCP, a następnie po przejściu gniazda w tryb ESP-in-TCP jądro przetwarza je i modyfikuje bezpośrednio w miejscu. To prowadzi do kontrolowanej korupcji page cache dla plików oznaczonych jako tylko do odczytu.

W praktyce taki mechanizm może umożliwić zmianę danych wykonywalnych lub innych chronionych artefaktów bez klasycznego zapisu na dysk. Demonstracje techniczne pokazują, że manipulacja zawartością binariów systemowych może zostać wykorzystana do uruchomienia procesu z uprawnieniami root.

Jedną z najbardziej niepokojących cech Fragnesii jest jej deterministyczny charakter. Exploit nie wymaga precyzyjnego wyczucia czasu ani klasycznych race condition, co znacząco obniża próg wejścia dla operatorów post-exploitation oraz autorów złośliwego oprogramowania.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem wykorzystania Fragnesii jest pełna lokalna eskalacja uprawnień do poziomu root. W środowiskach wieloużytkownikowych, na serwerach CI/CD, hostach deweloperskich, systemach współdzielonych oraz platformach kontenerowych może to oznaczać przejęcie hosta przez użytkownika o niskich uprawnieniach.

Ryzyko jest szczególnie wysokie w scenariuszach, w których atakujący uzyskał już ograniczony dostęp, na przykład poprzez kradzież poświadczeń, podatność aplikacyjną lub uruchomienie złośliwego kodu w sesji użytkownika. Fragnesia może wtedy posłużyć jako szybki etap przejścia do pełnych uprawnień administracyjnych.

Po udanej eskalacji możliwe staje się trwałe osadzenie w systemie, wyłączanie mechanizmów ochronnych, manipulacja logami, kradzież sekretów, wdrażanie rootkitów oraz dalszy ruch boczny w infrastrukturze. Publiczna dostępność proof-of-concept dodatkowo skraca czas między ujawnieniem luki a jej praktycznym wykorzystaniem.

Rekomendacje

Najważniejszym działaniem jest niezwłoczne wdrożenie aktualizacji jądra dostarczonych przez producenta dystrybucji lub platformy. Organizacje powinny potwierdzić, które wersje kernela działają w środowiskach produkcyjnych, testowych i w obrazach bazowych, a następnie sprawdzić dostępność poprawek dla wszystkich utrzymywanych gałęzi.

Jeżeli natychmiastowy patching nie jest możliwy, warto wdrożyć środki ograniczające powierzchnię ataku. Obejmują one wyłączenie lub ograniczenie zbędnej funkcjonalności XFRM/IPsec, kontrolę ładowanych modułów jądra, ograniczenie dostępu powłokowego dla użytkowników lokalnych oraz blokowanie uruchamiania nieautoryzowanego kodu.

W środowiskach kontenerowych i wielodostępnych należy dodatkowo wzmocnić polityki izolacji oraz zweryfikować uprawnienia procesów uruchamianych z zewnętrznie dostarczanym kodem. To właśnie takie środowiska są szczególnie narażone na wykorzystanie lokalnych podatności eskalacyjnych.

Zespoły bezpieczeństwa powinny także zwiększyć monitoring pod kątem symptomów lokalnej eskalacji uprawnień. Warto zwrócić uwagę na nietypowe uruchomienia procesów uprzywilejowanych, anomalie w użyciu binariów SUID, nagłe zmiany kontekstu uprawnień oraz podejrzane wzorce aktywności widoczne w telemetrii EDR.

Podsumowanie

Fragnesia, czyli CVE-2026-46300, to poważna luka w jądrze Linux prowadząca do lokalnej eskalacji uprawnień. O jej znaczeniu decyduje połączenie kilku czynników: kontrolowanej korupcji page cache, stosunkowo prostego scenariusza wykorzystania, deterministycznego charakteru exploita oraz dostępności publicznego proof-of-concept.

Dla administratorów i zespołów bezpieczeństwa oznacza to konieczność priorytetowego traktowania aktualizacji, szybkiej oceny ekspozycji oraz wdrożenia tymczasowych mechanizmów ograniczających ryzyko tam, gdzie pełny patching nie może zostać wykonany natychmiast. W praktyce jest to podatność, którą należy uznać za krytyczną operacyjnie wszędzie tam, gdzie lokalny dostęp do systemu jest realnym scenariuszem zagrożenia.

Źródła

  1. Security Affairs — Linux Kernel bug Fragnesia allows local root access attacks
  2. Ubuntu Security Tracker — CVE-2026-46300
  3. AlmaLinux — Fragnesia (CVE-2026-46300): Patched kernels available in testing
  4. Tenable Blog — CVE-2026-46300 (Fragnesia): Linux Kernel ESP-in-TCP LPE FAQ
  5. AWS Security Bulletin — Fragnesia Local Privilege Escalation report via ESP-in-TCP in the Linux Kernel (CVE-2026-46300)