SchwachstellenHackerangriffeCyberkriminalität

Fragnesia: Neue Linux-Schwachstelle ermöglicht Root-Zugriff durch Page-Cache-Manipulation

Von CyberDeutsch Redaktion
Fragnesia: Neue Linux-Schwachstelle ermöglicht Root-Zugriff durch Page-Cache-Manipulation
Zusammenfassung

Die Linux-Kernel-Gemeinschaft steht vor einer ernsthaften Sicherheitskrise: Innerhalb von nur zwei Wochen wurden drei kritische lokale Privilege-Escalation-Anfällbarkeiten entdeckt, die es Angreifern ermöglichen, vollständige Root-Zugriffe auf Linux-Systeme zu erlangen. Die neueste Schwachstelle trägt den Namen Fragnesia und wird als CVE-2026-46300 katalogisiert. Sie nutzt eine Logik-Fehlkonfiguration im Linux-Kernel-Subsystem XFRM ESP-in-TCP aus und ermöglicht es unprivilegierten lokalen Benutzern, schreibgeschützte Dateien im Kernel-Page-Cache zu manipulieren und dadurch Root-Rechte zu erlangen. Besonders besorgniserregend ist die Determinismus der Schwachstelle – sie funktioniert zuverlässig auf allen großen Linux-Distributionen ohne komplexe Race-Conditions oder zusätzliche Systemprivilegien. Für deutsche Nutzer und Unternehmen stellt dies ein erhebliches Risiko dar, insbesondere für Linux-basierte Server, Container-Infrastrukturen und Cloud-Umgebungen. Während bislang keine aktiven Angriffe beobachtet wurden, warnt die IT-Sicherheitsgemeinschaft eindringlich vor sofortiger Anwendung von Patches. Die gleichzeitige Meldung eines Cyberkriminellen, der einen ähnlichen Zero-Day-Exploit im Darknet anbietet, unterstreicht die Dringlichkeit des Handelns für alle verantwortlichen Administratoren und Sicherheitsteams.

Die neue Schwachstelle Fragnesia wurde von William Bowling des V12-Sicherheitsteams entdeckt. Im Gegensatz zur kürzlich bekannt gewordenen Dirty Frag-Lücke handelt es sich um einen separaten Fehler in derselben XFRM/ESP-Subsystem des Linux-Kernels, der jedoch ähnliche Exploitationsmechaniken nutzt.

Funktionsweise der Schwachstelle

Die Lücke ermöglicht es Angreifern, durch Logik-Fehler in der Linux-XFRM-ESP-in-TCP-Subsystem beliebige Byte in den Kernel-Page-Cache zu schreiben, ohne dass eine Race-Condition ausgelöst werden muss. Besonders bemerkenswert: Es werden keine Host-Level-Privilegien benötigt. Angreifer können dadurch die Page-Cache-Memory des /usr/bin/su-Binaries korrupt machen und sich sofortigen Root-Zugriff auf allen großen Linux-Distributionen verschaffen.

Google-Tochter Wiz und das Sicherheitsunternehmen V12 haben bereits einen Proof-of-Concept-Exploit veröffentlicht. CloudLinux gibt Entwarnung für Nutzer, die bereits Dirty-Frag-Mitigationen implementiert haben – diese sollten vorläufig ausreichen, bis gepatchte Kernel verfügbar sind.

Empfehlungen und Mitigationen

Microsoft und Red Hat empfehlen dringend sofortige Updates. Als Übergangslösung bis zum Patchen können folgende Schritte eingeleitet werden: Deaktivierung der esp4-, esp6- und verwandter xfrm/IPsec-Funktionalität, Beschränkung unnötiger lokaler Shell-Zugriffe und Härtung von Container-Workloads. AppArmor-Restrictions auf unprivilegierte User-Namespaces bieten teilweise Schutz, erfordern aber zusätzliche Bypasses für vollständige Sicherheit.

Bedrohungslage verschärft sich

Besorgniserregend ist eine zusätzliche Entwicklung: Ein Cyberkrimineller namens “berz0k” bietet im Darknet einen Linux-LPE-Zero-Day-Exploit für 170.000 Dollar an. Dieser soll angeblich auf mehreren großen Linux-Distributionen funktionieren, TOCTOU-basiert sein und stabile Privilege-Escalation ohne Systemabstürze ermöglichen.

Die Häufung solcher kritischen Lücken innerhalb kurzer Zeit deutet auf erhöhte Aufmerksamkeit von Angreifern hin. Deutsche Unternehmen und Behörden sollten ihre Linux-Systeme sofort inventarisieren und Patch-Cycles beschleunigen.

Ähnliche Artikel