Linux特権昇格フロー『Dirty Frag』ファミリーの新しい亜種が登場しました。これは3週間以内に報告された3番目のルートレベルのLinuxカーネルバグです。
クラウドセキュリティ企業Wizの新しい分析によると、Fragnesiaという名称で追跡ID CVE-2026-46300として知られている脆弱性は、ZellicのWilliam BowlingとV12チームによって発見されました。動作するプルーフオブコンセプト(PoC)エクスプロイトは5月13日の開示と同時に公開されました。
この欠陥は、その日付より前にリリースされたすべてのLinuxカーネルに影響を与え、権限のないローカルユーザーが読み取り専用ファイルのカーネルページキャッシュに任意のバイトを書き込むことでルートを取得できます。
ESP復号化によるページキャッシュの破損
この欠陥は、ソケットバッファをマージする際にカーネルが共有ページフラグメントを追跡する方法に存在します。適切な一連の操作下では、その帳簿付けが失敗し、カーネルはどのメモリページが外部ファイルによってサポートされているかについての把握を失います。
攻撃者は、ファイルの内容をTCPソケットにフィードし、その後同じソケット上でESP-in-TCP暗号化を有効にすることで、その混乱を引き起こすことができます。その後、カーネルはキューに入れられたバイトをキャッシュされたファイルページ上に直接復号化を進めます。AES-GCMキーストリームはメモリ内の制御された上書きを生成します。
BowlingがリリースしたPoCでは、この技術を使用して、/usr/bin/suの最初のバイトをルートシェルにドロップするショートペイロードで上書きしました。変更はバイナリのカーネルのメモリ内コピーのみに対して行われるため、ディスク上のファイルは変更されず、不正な行為は標準的なディスクフォレンジックスに対して痕跡を残しません。
Linuxカーネル欠陥についてもっと読む: CrackArmor欠陥がLinuxシステムを特権昇格に公開
Dirty Fragパッチの副作用
Bowling氏はFragnesiaを『dirtyfragからのESP/XFRMの別個のバグ』として説明し、同じカーネル攻撃面に存在しています。Dirty Fragの研究者であるHyunwoo Kim氏は、新しい欠陥が彼の元の脆弱性に対処するパッチの1つの意図しない副作用として現れたと述べました。
この開示は、4月29日のCopy Fail(CVE-2026-31431)と5月7日のDirty Frag(CVE-2026-43284およびCVE-2026-43500)を含む、最近数週間で開示された他の2つのLinuxカーネルローカル特権昇格フローに続くものです。
候補の上流修正は5月13日にnetdevメーリングリストに提出され、出版時点ではメインラインカーネルにマージされていませんでした。しかし、複数のLinuxディストリビューションは独自のバックポートされたパッチの提供を開始しています。
FragnesiaはDirty Fragと同じesp4、esp6、およびrxrpcカーネルモジュールを使用しています。これは、Dirty Fragに対する暫定防御としてこれらのモジュールを既に無効にした管理者も、パッチ適用されたカーネルが利用可能になるまでFragnesiaに対しても保護されていることを意味しています。
権限のないユーザー名前空間を制限し、疑わしい名前空間作成またはXFRM操作を監視することも、推奨される暫定的な手順です。
翻訳元: https://www.infosecurity-magazine.com/news/fragnesia-linux-kernel-lpe-root/
