Thông tin chi tiết đã xuất hiện về một biến thể mới của lỗ hổng Linux local privilege escalation (LPE) Dirty Frag gần đây, cho phép kẻ tấn công cục bộ giành được quyền root. Đây là lỗi thứ ba thuộc loại này được xác định trong kernel chỉ trong vòng hai tuần.
Với mật danh Fragnesia, lỗ hổng bảo mật này được theo dõi với mã hiệu CVE-2026-46300 (điểm CVSS: 7.8) và bắt nguồn từ hệ thống con XFRM ESP-in-TCP của Linux kernel. Nó được phát hiện bởi nhà nghiên cứu William Bowling thuộc đội ngũ bảo mật V12.
"Lỗ hổng này cho phép những kẻ tấn công cục bộ không có đặc quyền sửa đổi nội dung tệp chỉ đọc trong kernel page cache và đạt được đặc quyền root thông qua một kỹ thuật ghi đè page-cache có tính xác định," theo công ty Wiz của Google.
Các bản phân phối Linux bị ảnh hưởng
Nhiều bản phân phối Linux đã phát hành các thông báo bảo mật:
V12 cho biết: "Đây là một lỗi riêng biệt trong ESP/XFRM so với Dirty Frag và đã được cung cấp bản vá riêng. Tuy nhiên, nó nằm trên cùng một bề mặt tấn công và các biện pháp giảm thiểu cũng tương tự như Dirty Frag. Nó lạm dụng một lỗi logic trong hệ thống con XFRM ESP-in-TCP của Linux để thực hiện ghi byte tùy ý vào kernel page cache của các tệp chỉ đọc mà không yêu cầu bất kỳ điều kiện race condition nào."
Fragnesia tương tự như Copy Fail và Dirty Frag (còn gọi là Copy Fail 2) ở chỗ nó ngay lập tức cung cấp quyền root trên tất cả các bản phân phối lớn bằng cách đạt được khả năng ghi bộ nhớ trong kernel và làm hỏng bộ nhớ page cache của tệp thực thi /usr/bin/su. Một mã khai thác proof-of-concept (PoC) đã được V12 công bố.
Đội ngũ duy trì CloudLinux lưu ý: "Những khách hàng đã áp dụng các biện pháp giảm thiểu Dirty Frag không cần thực hiện thêm hành động nào cho đến khi các kernel đã vá được phát hành." Red Hat cho biết họ đang tiến hành đánh giá để xác nhận liệu các biện pháp giảm thiểu hiện tại có áp dụng được cho CVE-2026-46300 hay không.
Wiz cũng lưu ý rằng các hạn chế của AppArmor đối với user namespaces không có đặc quyền có thể đóng vai trò như một biện pháp giảm thiểu một phần, yêu cầu các bước bypass bổ sung để khai thác thành công. Tuy nhiên, khác với Dirty Frag, Fragnesia không yêu cầu đặc quyền cấp host.
Microsoft khuyến cáo: "Bản vá đã có sẵn, và mặc dù chưa quan sát thấy việc khai thác trong thực tế vào thời điểm này, chúng tôi kêu gọi người dùng và các tổ chức áp dụng bản vá sớm nhất có thể. Nếu việc vá lỗi chưa thể thực hiện ngay, hãy cân nhắc áp dụng các biện pháp giảm thiểu tương tự như đối với Dirty Frag."
Các biện pháp này bao gồm vô hiệu hóa esp4, esp6 và các chức năng xfrm/IPsec liên quan, hạn chế quyền truy cập shell cục bộ không cần thiết, thắt chặt các containerized workloads và tăng cường giám sát các hoạt động leo thang đặc quyền bất thường.
Sự việc diễn ra trong bối cảnh một tác nhân đe dọa tên là "berz0k" bị phát hiện đang quảng cáo trên các diễn đàn tội phạm mạng một bản khai thác zero-day Linux LPE với giá 170.000 USD, tuyên bố rằng nó hoạt động trên nhiều bản phân phối Linux lớn.
"Tác nhân đe dọa tuyên bố lỗ hổng này dựa trên TOCTOU (Time-of-Check Time-of-Use), có khả năng leo thang đặc quyền cục bộ ổn định mà không gây treo hệ thống, và sử dụng payload là một shared object (.so) được thả vào thư mục /tmp," ThreatMon cho biết.
