Администраторы Linux, еще не оправившиеся от устранения уязвимостей ядра CopyFail прошлого месяца и Dirty Frag прошлой недели, столкнулись с новой головной болью: Fragnesia.
«Это серьезная уязвимость», — сообщил изданию CSO Роберт Беггс, глава фирмы по реагированию на инциденты DigitalDefence. «Она обходит традиционные разрешения файловой системы, которые присутствуют и применяются (например, «файл принадлежит root» или «файл доступен только для чтения»), позволяя вносить изменения, не затрагивая диск».
Подобно Dirty Frag, Fragnesia (CVE-2026-46300) представляет собой брешь для локального повышения привилегий, которая использует уязвимость в подсистеме XFRM ESP-in-TCP для достижения примитива записи в память ядра. XFRM — это IP-фреймворк, предназначенный для преобразования пакетов, а ESP-in-TCP (Encapsulating Security Payload in TCP) — это сетевая техника, используемая для инкапсуляции пакетов IPsec ESP внутри сегментов TCP.
Эксплойт с доказательством концепции (PoC) уже находится в открытом доступе.
Хорошая новость, по словам Беггса, заключается в том, что уязвимость нельзя использовать удаленно. Злоумышленнику необходим локальный доступ для запуска определенных путей кода и возможность контролировать локальные операции с сокетами и манипулировать фрагментацией пакетов.
Тем не менее, добавил он, любой непривилегированный пользователь может использовать эту ошибку в уязвимой системе для повреждения файлов, чувствительных к безопасности, в памяти, таких как конфигурация управления привилегированным доступом, пароли, файлы служб systemd или задания cron. Хотя злоумышленник не может изменить файл на диске, изменение файлов в памяти может ввести в заблуждение привилегированные процессы, изменить поведение системы, выполнить произвольный код и повысить привилегии в системе, отметил он.
Дистрибутивы Linux, включая Red Hat, Ubuntu, AlmaLinux и другие, выпускают исправления или меры смягчения последствий; CloudLinux сообщил, что патч находится на тестировании.
В заявлении для CSO Майк МакГрат, вице-президент Core Platforms в Red Hat, заявил, что выпуск мер смягчения и исправлений для повышения привилегий, подобных Fragnesia, является наивысшим приоритетом.
«Мы опубликовали обходные решения для модулей ядра esp4 и esp6, которые, по нашему мнению, обеспечивают немедленную защиту клиентов, пока мы работаем с вышестоящим сообществом над поиском постоянного исправления в виде патча», — сказал он.
По данным поставщика поддержки Linux TuxCare, затронуты системы, использующие затронутые пути кода skbuff, включая ядра, которые уже получили исправление для Dirty Frag. Публичный PoC требует, чтобы системы имели опцию конфигурации CONFIG_INET_ESPINTCP для доступа к ошибке, поэтому ядра, скомпилированные без нее, блокируют этот эксплойт. Однако основной дефект skbuff может быть достигнут и другими путями.
Microsoft настоятельно призывает пользователей Linux и организации как можно скорее применить патч, используя инструменты обновления. Если установка патча на данный момент невозможна, рассмотрите возможность применения тех же мер смягчения, что и для Dirty Frag, например, оцените, можно ли безопасно временно отключить esp4, esp6 и связанную функциональность xfrm/IPsec, ограничить ненужный локальный доступ к оболочке, усилить защиту контейнеризированных рабочих нагрузок и усилить мониторинг аномальной активности повышения привилегий.
Связанный контент: Предложен «выключатель» для функций ядра Linux для защиты систем до установки исправления уязвимости нулевого дня
Беггс советует системным администраторам подтвердить подверженность ядра, проверив номера версий, а затем, при необходимости, обновиться до пропатченного ядра и перезагрузить затронутую систему. Если ESP-in-TCP не требуется, отключите модуль и заблокируйте его использование; эта мера смягчения также может быть применена немедленно до завершения установки патча. Поскольку уязвимость требует локального доступа, убедитесь, что основные шаги, такие как принудительное использование MFA для привилегированных учетных записей, отключение ненужного доступа к оболочке и применение принципа наименьших привилегий, соблюдены.
Беггс также отметил, что администраторам следует усилить мониторинг привилегированных процессов (PAM, systemd, cron) и отслеживать неожиданные перезапуски, неожиданные перезагрузки конфигурации и внезапное повышение привилегий.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
