Fragnesia
es una vulnerabilidad universal de escalamiento de privilegios local en Linux,
descubierta por el investigador William Bowling, del equipo de seguridad V12.
Fragnesia pertenece a la clase de vulnerabilidades
Dirty Frag. Se trata de un error distinto en ESP/XFRM que ya cuenta con su propio
parche. Sin embargo, se encuentra en la misma superficie y la mitigación es la
misma que para Dirty Frag.
Aprovecha un error lógico en el subsistema XFRM ESP-in-TCP de Linux para
realizar escrituras arbitrarias de bytes en la caché de páginas del kernel de
archivos de solo lectura, sin necesidad de ninguna condición de carrera.
«La vulnerabilidad permite a atacantes locales sin privilegios modificar el
contenido de archivos de solo lectura en la caché de páginas del kernel y
obtener privilegios de superusuario mediante una técnica de corrupción
determinista de la caché de páginas»,
declaró Wiz, propiedad de Google.
Varias distribuciones de Linux han publicado avisos de seguridad.
«Se trata de un fallo distinto en el ESP/XFRM, diferente de Dirty Frag, que
ya cuenta con su propio parche», afirmó V12. Sin embargo, se encuentra en la misma superficie y la
mitigación es la misma que para Dirty Frag. Explota un error lógico en el
subsistema XFRM ESP-in-TCP de Linux para lograr escrituras arbitrarias de
bytes en la caché de páginas del kernel de archivos de solo lectura, sin
requerir ninguna condición de carrera.
Fragnesia es similar a
Copy Fail
y Dirty Frag (también conocido como Copy Fail 2) en que otorga acceso de
administrador inmediatamente en todas las distribuciones principales al lograr
una primitiva de escritura en memoria en el kernel y corromper la memoria
caché de páginas del binario /usr/bin/su. V12 ha publicado una prueba
de concepto (PoC) del exploit.
«Los clientes que ya hayan aplicado la mitigación de Dirty Frag no
necesitan hacer nada más hasta que se publiquen los kernels parcheados», dijeron los responsables de CloudLinux. Red Hat
indicó
que está realizando una evaluación para confirmar si las mitigaciones
existentes se extienden a CVE-2026-46300.
Wiz también señaló que las restricciones de AppArmor en los espacios de
nombres de usuario sin privilegios podrían servir como una mitigación parcial,
requiriendo elusión adicional para una explotación exitosa. Sin embargo, a
diferencia de Dirty Frag, no se requieren privilegios a nivel de host.
«Hay un parche disponible y, si bien no se ha observado ninguna explotación
en la práctica hasta el momento, instamos a los usuarios y organizaciones a
aplicarlo lo antes posible mediante las herramientas de actualización»,
declaró Microsoft.
«Si no es posible aplicar el parche en este momento, considere aplicar las
mismas medidas de mitigación que para Dirty Frag».
Esto incluye deshabilitar esp4, esp6 y la funcionalidad xfrm/IPsec
relacionada, restringir el acceso innecesario a la consola local, reforzar la
seguridad de las cargas de trabajo en contenedores y aumentar la
monitorización de la actividad anómala de escalada de privilegios.
Fuente: Fragnesia