Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Fragnesia nel Kernel Linux: un bug nella page cache può darti root senza race condition
Nel panorama della sicurezza Linux è emersa una nuova vulnerabilità di local privilege escalation chiamata Fragnesia, tracciata come CVE 2026 46300 con punteggio CVSS 7.8. Il problema riguarda il kernel Linux e in particolare il sottosistema XFRM ESP in TCP, una componente legata a funzionalità IPsec e gestione del traffico cifrato.
L’aspetto più critico è che un attaccante locale senza privilegi può ottenere accesso root sfruttando una corruzione deterministica della page cache del kernel.
Fragnesia permette di modificare contenuti di file in sola lettura presenti nella cache delle pagine, creando una primitiva di scrittura di byte arbitrari. In pratica, pur non potendo scrivere direttamente su un binario protetto, l’attaccante riesce a corrompere la copia in memoria gestita dal kernel e a influenzare l’esecuzione di programmi sensibili. Il caso tipico descritto è la manipolazione della page cache associata al binario /usr/bin/su, con un impatto immediato sulla possibilità di elevare i privilegi fino a root su molte distribuzioni principali.
Questa vulnerabilità è distinta da Dirty Frag ma condivide la stessa superficie di attacco nel sottosistema ESP XFRM e adotta mitigazioni simili. Un elemento rilevante è che lo sfruttamento non richiede race condition, rendendo l’attacco più affidabile in scenari reali. È disponibile anche un proof of concept, fattore che aumenta l’urgenza di applicare patch e aggiornamenti del kernel non appena rilasciati dai vendor.
Diverse distribuzioni Linux hanno pubblicato advisory e aggiornamenti o indicazioni di mitigazione, tra cui AlmaLinux, Amazon Linux, CloudLinux, Debian, Gentoo, Red Hat Enterprise Linux, SUSE e Ubuntu. In attesa di kernel corretti, le misure consigliate includono:
- Disabilitazione di esp4, esp6 e funzionalità correlate a xfrm IPsec quando non necessarie.
- Riduzione dell’accesso a shell locali non indispensabili.
- Hardening dei workload containerizzati.
- Monitoraggio più stretto di eventi anomali di privilege escalation.
Alcune restrizioni come AppArmor sugli unprivileged user namespaces possono ridurre parzialmente il rischio, ma non rappresentano una soluzione completa. Anche in assenza di evidenze di sfruttamento su larga scala, la combinazione tra impatto root e disponibilità di codice dimostrativo rende Fragnesia una priorità per team IT e sicurezza.