В Linux нашли ещё одну локальную уязвимость повышения привилегий: CVE-2026-46300 с оценкой CVSS 7.8 позволяет непривилегированному пользователю получить root. Для команд, которые привыкли считать локальный доступ уже «почти проигранной позицией», новость неприятная: новая уязвимость Linux срабатывает без race condition и бьёт по тому же чувствительному участку ядра, что и недавняя Dirty Frag.
Проблема получила имя Fragnesia, и, как пишет The Hacker News, это уже третья ошибка такого класса в ядре Linux за последние две недели. Исследователи William Bowling из Zellic и команда V12 Security связали баг с подсистемой XFRM ESP-in-TCP. Если коротко, уязвимость даёт атакующему детерминированный механизм порчи page cache для файлов, которые вообще-то должны быть только для чтения. На практике это открывает дорогу к модификации содержимого системных бинарников и быстрому захвату root-доступа.
Что именно сломалось и почему это неприятно
По описанию Wiz, баг позволяет локальному непривилегированному пользователю менять данные read-only файлов в кэше страниц ядра. Это важная деталь: речь не о классическом «поймали удачное окно гонки», а о вполне воспроизводимом примитиве записи в память, который затем используется для подмены содержимого, например, /usr/bin/su. V12 отдельно подчёркивает, что Fragnesia не является тем же самым дефектом, что Dirty Frag: патч у неё собственный. Но поверхность атаки та же, и обходятся защитные предположения примерно в том же месте.
На инженерном языке это выглядит особенно неприятно по двум причинам. Во-первых, атакующему не нужны исходные host-привилегии. Во-вторых, для эксплуатации не требуется race condition, а значит снижается зависимость от удачи, таймингов и «повезёт или нет» на конкретной машине. Если эксплойт устойчиво воспроизводится, то для администраторов и команд платформы это уже не абстрактная «теоретическая LPE», а нормальный операционный риск: любой лишний shell на сервере, CI-раннере, bastion-host или в контейнерной среде становится куда дороже, чем хотелось бы.
В этом смысле Fragnesia продолжает неприятный мини-тренд вокруг Linux LPE через порчу page cache. В материале прямо говорится о сходстве с Copy Fail и Dirty Frag, которую иногда обозначают как Copy Fail 2. Общая логика у всех этих историй одна: если атакующий получает управляемую запись в память ядра и может испортить кэш страниц для критичного бинарника, root становится не финальной целью, а просто следующим шагом по инструкции. Для enterprise-среды это особенно болезненно, потому что задевает не один дистрибутив и не экзотическую конфигурацию, а типовой стек, который встречается в продакшене, облаке и контейнерных кластерах.
Именно поэтому реакция дистрибутивов пошла быстро. Консультации и advisory уже выпустили AlmaLinux, Amazon Linux, CloudLinux, Debian, Gentoo, Red Hat Enterprise Linux, SUSE и Ubuntu. Это не означает, что все риски мгновенно закрыты: у части вендоров сначала идут оценка влияния и проверка, перекрывают ли уже существующие меры новый сценарий атаки. Но сам список показывает масштаб проблемы: баг не застрял в нишевой ветке ядра и не ограничился одной платформой.
Что делать командам прямо сейчас
Практический момент здесь довольно прямолинейный. Если ваша команда уже вводила смягчающие меры против Dirty Frag, часть работы, вероятно, уже сделана. CloudLinux прямо сообщил, что пользователям, применившим прежнюю mitigation-стратегию, до выхода исправленных ядер дополнительных действий может не потребоваться. Red Hat, в свою очередь, сообщил, что ещё оценивает, распространяются ли существующие меры на CVE-2026-46300. Иначе говоря, рассчитывать на универсальное «нас это уже не касается» пока рано, но и начинать с нуля не обязательно.
Microsoft пишет, что признаков эксплуатации Fragnesia в дикой среде на момент публикации не наблюдалось, однако рекомендует ставить обновления как можно быстрее. Если патчирование по каким-то причинам откладывается, набор временных мер выглядит знакомо: отключение esp4, esp6 и связанной функциональности xfrm/IPsec, сокращение ненужного локального shell-доступа, ужесточение настроек контейнерных сред и усиленный мониторинг аномального повышения привилегий. Wiz также указывает на частичную защиту через ограничения AppArmor для непривилегированных user namespaces, хотя это не серебряная пуля и может потребовать дополнительных барьеров для успешного блокирования эксплуатации.
Для разработчиков и SRE из этой истории следует довольно приземлённый вывод: локальный доступ снова нельзя считать «внутренней» проблемой, которую можно отложить до очередного окна обновлений. Если на машине крутятся shared CI-агенты, self-hosted runners, среды сборки, jump-hosts или контейнерные ворклоады с неидеальной изоляцией, то новая уязвимость Linux превращается из новости про ядро в вопрос архитектуры доверия. Чем больше у вас мест, где кто-то может выполнить код от обычного пользователя, тем выше ценность даже «только локальной» LPE.
Есть и ещё один неприятный фон. Параллельно ThreatMon сообщил, что актор под именем berz0k рекламирует на киберпреступных форумах некий zero-day Linux LPE за 170 тысяч долларов. Он утверждает, что эксплойт работает против нескольких крупных дистрибутивов, основан на TOCTOU-ошибке, не валит систему и использует полезную нагрузку в виде .so-файла, который сбрасывается в /tmp. Прямой связи между этим предложением и Fragnesia в опубликованных данных нет, поэтому склеивать две истории в одну было бы натяжкой. Но сам факт появления коммерческих предложений по Linux LPE на фоне серии свежих багов хорошо показывает настроение рынка: Linux больше не выглядит «слишком сложной» или «невыгодной» целью для стабильных локальных эксплойтов.
Главный вопрос теперь не в том, будет ли ещё один патч к XFRM, а в том, насколько быстро инфраструктурные команды перестроят отношение к локальному исполнению кода в Linux-средах. Серия из трёх LPE-ошибок за две недели намекает, что уязвимые участки вокруг memory corruption и page cache ещё не сказали последнее слово. Подробности исходной публикации доступны в The Hacker News .
The post Fragnesia: новая уязвимость Linux даёт root без гонки и привилегий appeared first on iTech News.