Fragnesia: Dritte Linux-Kernel-Lücke binnen zwei Wochen verschafft Root-Rechte

Zusammenfassung

Mit Fragnesia ist innerhalb von zwei Wochen die dritte Linux-Kernel-Schwachstelle für lokale Rechteausweitung (LPE) bekannt geworden, die lokalen Angreifern Root-Zugriff verschafft. Die Lücke wird als CVE-2026-46300 geführt und mit einem CVSS-Wert von 7,8 bewertet. Sie steckt im XFRM-ESP-in-TCP-Subsystem des Linux-Kernels und wurde von dem Sicherheitsforscher William Bowling vom V12-Sicherheitsteam entdeckt. Nach Darstellung des Google-eigenen Anbieters Wiz können unprivilegierte lokale Angreifer damit schreibgeschützte Dateiinhalte im Kernel-Page-Cache verändern und über eine deterministische Manipulation des Page-Cache Root-Rechte erlangen. Fragnesia ist eine Variante der erst kürzlich öffentlich gewordenen Schwachstelle Dirty Frag und betrifft dieselbe Angriffsfläche im ESP/XFRM-Code, hat aber einen eigenen Patch erhalten. Mehrere Linux-Distributionen haben bereits Sicherheitshinweise veröffentlicht. Ein Proof-of-Concept-Exploit wurde vom V12-Team bereitgestellt. Eine aktive Ausnutzung wurde bislang nicht beobachtet, dennoch raten die beteiligten Akteure dringend dazu, verfügbare Patches einzuspielen oder ersatzweise die für Dirty Frag bekannten Gegenmaßnahmen anzuwenden.

Laut dem V12-Team handelt es sich bei Fragnesia um einen eigenständigen Fehler im ESP/XFRM-Code, der einen separaten Patch erhalten hat. Er liege jedoch auf derselben Angriffsfläche wie Dirty Frag, weshalb auch dieselben Gegenmaßnahmen greifen. Ausgenutzt wird ein Logikfehler im XFRM-ESP-in-TCP-Subsystem, über den sich beliebige Bytes in den Kernel-Page-Cache schreibgeschützter Dateien schreiben lassen – und zwar ohne dass eine Race Condition ausgenutzt werden muss.

Wie zuvor Copy Fail und Dirty Frag (auch Copy Fail 2 genannt) liefert Fragnesia auf allen großen Distributionen unmittelbar Root-Rechte: Angreifer erreichen ein Schreibprimitiv im Kernel und manipulieren den Page-Cache-Speicher der Binärdatei /usr/bin/su. Anders als bei Dirty Frag sind dafür keine Privilegien auf Host-Ebene erforderlich.

Mehrere Distributionen haben mit Sicherheitshinweisen reagiert. Die CloudLinux-Maintainer erklärten, Kunden, die bereits die Dirty-Frag-Gegenmaßnahme angewendet haben, müssten bis zur Bereitstellung gepatchter Kernel nichts weiter unternehmen. Red Hat prüft nach eigenen Angaben, ob die bestehenden Gegenmaßnahmen auch CVE-2026-46300 abdecken.

Wiz wies zudem darauf hin, dass AppArmor-Einschränkungen für unprivilegierte User-Namespaces als teilweise Schutzmaßnahme dienen können; für eine erfolgreiche Ausnutzung wären dann zusätzliche Umgehungen nötig.

Microsoft erklärte, ein Patch sei verfügbar, und obwohl bislang keine Ausnutzung in freier Wildbahn beobachtet worden sei, sollten Nutzer und Organisationen ihn so schnell wie möglich über ihre Update-Werkzeuge einspielen. Sei das derzeit nicht möglich, sollten dieselben Gegenmaßnahmen wie für Dirty Frag in Betracht gezogen werden. Dazu zählen das Deaktivieren von esp4, esp6 und verwandter xfrm/IPsec-Funktionalität, die Einschränkung unnötiger lokaler Shell-Zugänge, das Härten containerisierter Workloads sowie eine verstärkte Überwachung auf ungewöhnliche Aktivitäten zur Rechteausweitung.

Parallel dazu wurde beobachtet, dass ein Akteur namens „berz0k“ in Cybercrime-Foren einen Zero-Day-Exploit zur lokalen Rechteausweitung unter Linux für 170.000 US-Dollar anbietet und behauptet, dieser funktioniere auf mehreren großen Distributionen. Nach Angaben von ThreatMon in einem Beitrag auf X gibt der Akteur an, die Schwachstelle beruhe auf einem TOCTOU-Mechanismus (Time-of-Check Time-of-Use), ermögliche eine stabile lokale Rechteausweitung ohne Systemabstürze und nutze eine im Verzeichnis /tmp abgelegte Shared-Object-Datei (.so) als Payload.

Fragnesia: Dritte Linux-Kernel-Lücke binnen zwei Wochen verschafft Root-Rechte

Ähnliche Artikel

Neueste Artikel