Foram revelados novos detalhes sobre uma variante do recente Dirty Frag, uma vulnerabilidade de escalada local de privilégios no Linux, ou LPE, que permite a atacantes locais obter acesso root.
Com isso, trata-se do terceiro bug desse tipo identificado no kernel em um intervalo de duas semanas.
Batizada de Fragnesia, a falha é acompanhada como CVE-2026-46300, com nota CVSS de 7,8, e está enraizada no subsistema XFRM ESP-in-TCP do kernel Linux.
Ela foi descoberta pelo pesquisador William Bowling, da equipe de segurança V12.
"A vulnerabilidade permite que atacantes locais sem privilégios modifiquem o conteúdo de arquivos somente leitura no cache de páginas do kernel e obtenham privilégios de root por meio de um recurso determinístico de corrupção do cache de páginas", informou a Wiz, empresa controlada pelo Google.
Diversas distribuições Linux já publicaram avisos sobre o problema:
AlmaLinux
Amazon Linux
CloudLinux
Debian
Gentoo
Red Hat Enterprise Linux
SUSE
Ubuntu
"Este é um bug separado no ESP/XFRM em relação ao Dirty Frag, e ele recebeu seu próprio patch", afirmou a V12.
"No entanto, ele atinge a mesma superfície e a mitigação é a mesma do Dirty Frag.
O bug explora uma falha lógica no subsistema XFRM ESP-in-TCP do Linux para realizar gravações arbitrárias de bytes no cache de páginas do kernel de arquivos somente leitura, sem exigir qualquer condição de corrida."
O Fragnesia se assemelha ao Copy Fail e ao Dirty Frag, também chamado de Copy Fail 2, porque concede acesso root de forma imediata em todas as principais distribuições ao explorar uma primitiva de gravação em memória no kernel e corromper a memória do cache de páginas do binário /usr/bin/su.
A equipe V12 também divulgou um exploit de prova de conceito, ou PoC.
"Clientes que já aplicaram a mitigação do Dirty Frag não precisam tomar nenhuma medida adicional até que kernels corrigidos sejam liberados", disseram os mantenedores da CloudLinux.
A Red Hat informou que está fazendo uma análise para confirmar se as mitigações já existentes se estendem ao CVE-2026-46300.
A Wiz também observou que as restrições do AppArmor sobre namespaces de usuários sem privilégios podem servir como mitigação parcial, exigindo outros mecanismos de bypass para que a exploração tenha sucesso.
Porém, diferentemente do Dirty Frag, não são necessários privilégios no host.
"Há um patch disponível e, embora nenhuma exploração em ambiente real tenha sido observada até o momento, recomenda-se que usuários e organizações apliquem a correção o quanto antes, executando as ferramentas de atualização", disse a Microsoft.
"Se não for possível corrigir neste momento, considere aplicar as mesmas mitigações usadas para o Dirty Frag."
Isso inclui desativar esp4, esp6 e funcionalidades relacionadas de xfrm/IPsec, restringir acessos locais ao shell que não sejam necessários, reforçar a segurança de cargas de trabalho em contêiner e ampliar o monitoramento de atividades anormais de escalada de privilégios.
O caso surge ao mesmo tempo em que um threat actor identificado como "berz0k" foi visto anunciando, em fóruns de cibercrime, um exploit zero-day de LPE para Linux por US$ 170.000, alegando que ele funciona em várias das principais distribuições Linux.
"O threat actor afirma que a vulnerabilidade é baseada em TOCTOU, capaz de realizar uma escalada local de privilégios estável sem causar falhas no sistema, e que utiliza um payload de objeto compartilhado (.so) depositado no diretório /tmp", disse a ThreatMon em uma publicação no X.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...