За последние несколько недель стало известно о нескольких уязвимостях, с помощью которых злоумышленники могут получить root-доступ к системам Linux. Теперь была раскрыта следующая уязвимость такого рода — Fragnesia. Она находится непосредственно в ядре Linux и затрагивает несколько широко распространённых дистрибутивов. Согласно описанию на Github (открывается в новом окне), причиной является логическая ошибка в подсистеме XFRM-ESP-in-TCP.

По имеющимся данным, Fragnesia имеет сходство с недавно обнаруженной уязвимостью Dirty Frag. Первооткрыватели даже описывают Fragnesia как «члена класса уязвимостей Dirty Frag». Как и в случае с Dirty Frag, с помощью Fragnesia можно перезаписывать выбранные байты page-кэша файлов, доступных только для чтения.

Более подробная информация о ходе атаки, а также рабочий эксплойт доступны на Github (открывается в новом окне). Эксплойт нацелен на перезапись первых байтов /usr/bin/su в page-кэше с последующим открытием root-оболочки с помощью функции execve(). «Изменение page-кэша не записывается обратно на жёсткий диск», — поясняют первооткрыватели. Бинарный файл на жёстком диске при атаке остаётся нетронутым.

Затронуты многочисленные дистрибутивы

Fragnesia зарегистрирована как CVE-2026-46300 (открывается в новом окне) и, как предполагается, может быть использована на всех системах Linux, уязвимых для Dirty Frag. Согласно текущим данным, затронуты как минимум дистрибутивы Ubuntu, Red Hat Enterprise Linux (RHEL), Opensuse, CentOS, Almalinux и Fedora, а потенциально и другие.

По крайней мере, в Ubuntu определённую защиту может обеспечить инструмент безопасности Apparmor, который также лишь несколько недель назад был замечен из-за root-уязвимости. «Apparmor по умолчанию ограничивает пространства имён непривилегированных пользователей», — говорится об этом на Github. Чтобы эксплойт сработал, это ограничение в Ubuntu необходимо сначала снять. Однако исследователи подчёркивают, что это потенциально возможно и в сочетании с другой уязвимостью.

Патч выпущен, обходное решение доступно

13 мая ядро Linux получило патч (открывается в новом окне), который защищает от использования Fragnesia. Однако, как и в случае с недавними уязвимостями Dirty Frag и Copy Fail, он, похоже, ещё не дошёл до соответствующих дистрибутивов. Например, в Debian (открывается в новом окне) и RHEL (открывается в новом окне) многие версии всё ещё помечены как уязвимые.

Тем, кто уже применил рекомендованную меру защиты для Dirty Frag, вероятно, не о чем беспокоиться. Для Fragnesia предлагаемое обходное решение (открывается в новом окне) идентично и включает удаление уязвимых модулей ядра. Однако, как следует из уведомления Red Hat (открывается в новом окне), это нарушает функциональность IPsec. Тем не менее, такие инструменты безопасности, как Microsoft Defender, также могут защитить от Fragnesia. По данным Microsoft (открывается в новом окне), Defender обнаруживает известные эксплойты Fragnesia и блокирует их выполнение.

На данный момент нет данных об активном использовании CVE-2026-46300. Однако, поскольку эксплойт находится в открытом доступе, а многие системы ещё не получили патч, это, вероятно, лишь вопрос времени, когда будут замечены соответствующие атаки. Администраторам следует как можно скорее применить доступные меры по устранению уязвимости.