Fragnesia (CVE-2026-46300): nowa podatność LPE w jądrze Linux umożliwia przejęcie roota - Security Bez Tabu

Fragnesia (CVE-2026-46300): nowa podatność LPE w jądrze Linux umożliwia przejęcie roota

Cybersecurity news

Wprowadzenie do problemu / definicja

Fragnesia to nowo ujawniona podatność lokalnej eskalacji uprawnień w jądrze Linux, oznaczona jako CVE-2026-46300. Luka pozwala nieuprzywilejowanemu użytkownikowi lokalnemu doprowadzić do uzyskania uprawnień root poprzez manipulację danymi w pamięci podręcznej stron jądra, nawet gdy celem są pliki tylko do odczytu.

Problem dotyczy mechanizmów związanych z obsługą ESP w stosie IPsec i jest zaliczany do tej samej rodziny usterek co wcześniejsze Copy Fail oraz Dirty Frag. To sprawia, że Fragnesia jest szczególnie istotna dla administratorów i zespołów bezpieczeństwa monitorujących stabilność oraz integralność środowisk Linux.

W skrócie

Fragnesia została publicznie ujawniona 13 maja 2026 r. i dotyczy jądra Linux w obszarze XFRM ESP-in-TCP. Podatność umożliwia lokalnemu atakującemu zapis arbitralnych bajtów do page cache dla plików tylko do odczytu, co może zostać wykorzystane do przejęcia pełnej kontroli nad systemem z uprawnieniami root.

  • Typ podatności: lokalna eskalacja uprawnień
  • Identyfikator: CVE-2026-46300
  • Dotknięty komponent: mechanizmy XFRM ESP-in-TCP w jądrze Linux
  • Skutek: możliwość uzyskania uprawnień root
  • Najbardziej narażone środowiska: hosty wieloużytkownikowe, klastry kontenerowe, CI/CD, platformy uruchamiające nieufny kod

Kontekst / historia

Ujawnienie Fragnesia nastąpiło krótko po nagłośnieniu błędów z rodziny Dirty Frag oraz wcześniej opisanego Copy Fail. Sekwencja tych zdarzeń pokazuje, że page cache i pokrewne ścieżki przetwarzania danych w jądrze Linux stały się obszarem wzmożonej analizy bezpieczeństwa.

Dostępne analizy sugerują, że Fragnesia jest blisko powiązana z wcześniejszymi problemami w module xfrm-ESP. Badacze wskazują, że nowa ścieżka nadużycia została ujawniona po zmianach wdrożonych przy naprawie jednego z błędów Dirty Frag, co sugeruje istnienie szerszej klasy problemów związanych z operacjami na page cache.

Dla organizacji oznacza to dodatkową presję operacyjną. Wiele zespołów nadal wdrażało poprawki lub obejścia dla wcześniejszych luk LPE, gdy pojawiła się kolejna podatność wymagająca pilnej oceny wpływu, weryfikacji konfiguracji i kontroli integralności systemów.

Analiza techniczna

Technicznie Fragnesia polega na możliwości kontrolowanego uszkodzenia page cache, czyli pamięci podręcznej stron używanej przez jądro do przechowywania danych plików opartych o nośnik. W normalnych warunkach pliki oznaczone jako tylko do odczytu nie powinny podlegać modyfikacji przez użytkownika bez odpowiednich uprawnień. W tym przypadku atakujący nie zmienia jednak bezpośrednio danych na dysku, lecz wpływa na ich reprezentację w pamięci jądra.

Skutkiem może być nadpisanie wybranych bajtów w cache dla plików wykonywalnych lub innych wrażliwych obiektów dostępnych do odczytu. Publiczne analizy wskazują, że pokazowy exploit wykorzystuje ten mechanizm do ingerencji w zawartość binariów systemowych i uruchomienia powłoki z uprawnieniami root.

Istotne jest to, że podatność opisywana jest jako deterministyczna, a więc nie wymaga wyjątkowo trudnych do odtworzenia warunków czasowych. Dla obrońców oznacza to podwyższone ryzyko praktycznej eksploatacji wszędzie tam, gdzie napastnik posiada już podstawowy poziom dostępu lokalnego, na przykład przez konto użytkownika, podatny kontener, usługę uruchamiającą kod lub przejętą aplikację webową.

Na poziomie komponentów szczególnie istotne są moduły związane z obsługą ESP, w tym esp4 i esp6. Tymczasowe mitigacje publikowane przez dostawców koncentrują się właśnie na blokowaniu lub wyładowaniu tych modułów, przy czym trzeba uwzględnić możliwy wpływ takiego działania na IPsec oraz niektóre wdrożenia VPN.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją Fragnesia jest lokalna eskalacja uprawnień do root, co w praktyce oznacza możliwość pełnego przejęcia systemu po uzyskaniu nawet niskoprzywilejowanego dostępu. Taka luka może być wykorzystana jako drugi etap ataku po kompromitacji aplikacji, kradzieży poświadczeń lub uzyskaniu dostępu do środowiska kontenerowego.

Ryzyko jest szczególnie wysokie w środowiskach współdzielonych. Na hostach wieloużytkownikowych, w platformach CI/CD, usługach build farm, środowiskach PaaS oraz na węzłach kontenerowych jeden podatny kernel współdzielony przez wiele workloadów oznacza zwiększoną powierzchnię ataku.

Dodatkowym problemem jest potencjalna trwałość skutków w page cache. Sama blokada modułu po czasie może nie wystarczyć, jeśli system był wcześniej eksploatowany, ponieważ zmodyfikowana zawartość cache może pozostać aktywna do momentu jej odświeżenia. Z tego powodu część dostawców zaleca po wdrożeniu mitigacji również opróżnienie cache stron lub restart systemu.

  • Pełne przejęcie hosta po uzyskaniu dostępu lokalnego
  • Zwiększenie skutków innych incydentów bezpieczeństwa
  • Wysokie ryzyko w środowiskach współdzielonych i kontenerowych
  • Możliwość utrzymania skutków eksploatacji do czasu odświeżenia cache

Rekomendacje

Priorytetem powinno być jak najszybsze wdrożenie oficjalnych aktualizacji jądra dostarczonych przez producenta dystrybucji. Organizacje nie powinny zakładać, że wcześniejsze poprawki dla Copy Fail lub Dirty Frag automatycznie eliminują wszystkie nowe warianty tej klasy błędów.

Do czasu instalacji poprawek zalecane jest wdrożenie tymczasowej mitigacji polegającej na zablokowaniu lub wyładowaniu podatnych modułów związanych z ESP, zgodnie z zaleceniami dostawcy systemu. Przed wykonaniem takiej zmiany należy ocenić wpływ biznesowy, ponieważ obejście może zakłócić działanie IPsec i wybranych tuneli VPN.

Po zastosowaniu obejścia warto przeprowadzić dodatkowe działania higieniczne, takie jak odświeżenie page cache, restart hosta tam, gdzie jest to możliwe, oraz kontrolę integralności kluczowych plików systemowych. W środowiskach podwyższonego ryzyka uzasadniona jest również analiza logów uprzywilejowanych operacji i telemetryczne wykrywanie nietypowych uruchomień narzędzi administracyjnych.

  • Niezwłocznie zidentyfikować podatne systemy
  • Wdrożyć poprawki jądra od dostawcy dystrybucji
  • Rozważyć tymczasowe wyłączenie modułów esp4 i esp6
  • Odświeżyć page cache lub zrestartować system po mitigacji
  • Sprawdzić integralność binariów i kluczowych plików systemowych
  • Ograniczyć uruchamianie nieufnego kodu na współdzielonych hostach

Podsumowanie

Fragnesia to kolejna poważna podatność LPE w jądrze Linux, która pozwala lokalnemu użytkownikowi uzyskać uprawnienia root poprzez korupcję page cache. Jej znaczenie operacyjne jest szczególnie duże w środowiskach współdzielonych, kontenerowych oraz wszędzie tam, gdzie system uruchamia kod dostarczany przez użytkowników.

Dla zespołów bezpieczeństwa kluczowe są szybka identyfikacja narażonych hostów, wdrożenie tymczasowych mitigacji tam, gdzie poprawki nie są jeszcze dostępne, oraz możliwie szybka aktualizacja jądra. Fragnesia potwierdza, że lokalna eskalacja uprawnień w Linuxie pozostaje krytycznym wektorem ataku, zwłaszcza gdy napastnik zdobył już ograniczony punkt wejścia do systemu.

Źródła

  1. https://www.infosecurity-magazine.com/news/fragnesia-linux-kernel-lpe-root/
  2. https://ubuntu.com/blog/fragnesia-linux-vulnerability-fixes-available
  3. https://www.helpnetsecurity.com/2026/05/14/fragnesia-cve-2026-46300-linux-lpe-vulnerability/
  4. https://ubuntu.com/security/CVE-2026-46300
  5. https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update?hs_amp=true