Han surgido detalles sobre una nueva variante de la reciente vulnerabilidad de Escalada de privilegios locales (LPE) de Dirty Frag Linux que permite a atacantes locales obtener acceso de root, lo que lo convierte en el tercer error de este tipo en el kernel en dos semanas.
La vulnerabilidad de seguridad con nombre en código ‘Fragnesia’ se rastrea como CVE-2026-46300 (puntuación CVSS: 7,8) y se encuentra en el subsistema XFRM ESP-in-TCP del kernel de Linux. Esto fue descubierto por el investigador William Bowling del equipo de seguridad V12.
«Esta vulnerabilidad permite a un atacante local sin privilegios modificar el contenido de archivos de sólo lectura en la caché de la página del núcleo y obtener privilegios de root a través de una primitiva de corrupción determinista de la caché de la página», dijo Wiz, propiedad de Google.
Varias distribuciones de Linux han publicado avisos:
«Este es otro error en ESP/XFRM de Dirty Frag que ha recibido su propio parche», dice V12. «Sin embargo, esto está en la misma superficie y la mitigación es la misma que la bandera sucia. Explota un error lógico en el subsistema ESP-in-TCP XFRM de Linux para lograr la escritura de bytes arbitrarios en la caché de la página del núcleo para archivos de sólo lectura sin necesidad de condiciones de carrera».
Fragnesia es similar a Copy Fail y Dirty Frag (también conocido como Copy Fail 2) en que logra primitivas de escritura en memoria dentro del kernel y obtiene instantáneamente raíz en todas las distribuciones principales al corromper la memoria caché de la página del binario /usr/bin/su. Se lanzó una prueba de concepto (PoC) en V12.
«Los clientes que ya han aplicado las mitigaciones de Dirty Frag no necesitan tomar ninguna medida adicional hasta que se lance un kernel parcheado», dijeron los mantenedores de CloudLinux. Red Hat dijo que está realizando una evaluación para determinar si las mitigaciones existentes se extienden a CVE-2026-46300.
Wiz también señaló que las restricciones de AppArmor en espacios de nombres de usuarios sin privilegios pueden actuar como una mitigación parcial, y es posible que se requieran omisiones adicionales para una explotación exitosa. Sin embargo, a diferencia de la bandera sucia, no requiere permisos a nivel de host.
«Si bien hay un parche disponible y no se han observado vulnerabilidades activas en este momento, animamos a los usuarios y organizaciones a ejecutar la herramienta de actualización y aplicar el parche lo antes posible». «Si no es posible aplicar parches en este momento, considere aplicar las mismas mitigaciones a las banderas sucias».
Esto incluye deshabilitar esp4, esp6 y las funciones xfrm/IPsec relacionadas, restringir el acceso innecesario al shell local, reforzar las cargas de trabajo en contenedores y aumentar la supervisión de actividades anómalas de escalada de privilegios.
Este desarrollo se produce después de que se observara a un actor de amenazas llamado ‘berz0k’ anunciando un exploit LPE de día cero para Linux en foros de cibercrimen por $170,000 y afirmando que funciona en múltiples distribuciones importantes de Linux.
«Los actores de amenazas afirman que esta vulnerabilidad está basada en TOCTOU (Tiempo de verificación, tiempo de uso), permite una escalada de privilegios locales estable sin causar una falla del sistema y aprovecha una carga útil de objeto compartido (.so) colocada en el directorio /tmp», dijo ThreatMon en una publicación en X.
Source link
