Han surgido detalles sobre **Fragnesia**, una nueva variante de la reciente vulnerabilidad de escalada de privilegios local (LPE) de Linux Dirty Frag, que permite a los atacantes locales obtener acceso root, convirtiéndose en el tercer error de este tipo identificado en el kernel en un lapso de dos semanas. ## Fragnesia: Los detalles La vulnerabilidad de seguridad se rastrea como **CVE-2026-46300** (puntaje CVSS: 7.8) y tiene sus raíces en el subsistema XFRM ESP-in-TCP del kernel de Linux. Fue descubierta por el investigador William Bowling de **Zellic** y el equipo de seguridad **V12**. "La vulnerabilidad permite a los atacantes locales sin privilegios modificar el contenido de archivos de solo lectura en la caché de páginas del kernel y lograr privilegios de root a través de un primitivo de corrupción determinista de la caché de páginas", dijo **Wiz**, propiedad de **Google**. ## Avisos de proveedores Múltiples distribuciones de Linux han emitido avisos: * [AlmaLinux](https://almalinux.org/blog/2026-05-13-fragnesia-cve-2026-46300/) * [Amazon Linux](https://aws.amazon.com/security/security-bulletins/rss/2026-029-aws/) * [CloudLinux](https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update) * [Debian](https://security-tracker.debian.org/tracker/CVE-2026-46300) * [Gentoo](https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-46300) * [Red Hat Enterprise Linux](https://access.redhat.com/security/cve/cve-2026-46300) * [SUSE](https://www.suse.com/security/cve/CVE-2026-46300.html) * [Ubuntu](https://ubuntu.com/security/CVE-2026-46300) **V12** declaró: "Este es un error separado en ESP/XFRM de Dirty Frag que ha recibido su propio parche. Sin embargo, está en la misma superficie y la mitigación es la misma que para Dirty Frag. Abusa de un error lógico en el subsistema XFRM ESP-in-TCP de Linux para lograr escrituras de bytes arbitrarias en la caché de páginas del kernel de archivos de solo lectura, sin requerir ninguna condición de carrera." ## Similitudes con Copy Fail y Dirty Frag Fragnesia es similar a Copy Fail y Dirty Frag (también conocido como Copy Fail 2) en que produce root inmediatamente en todas las distribuciones principales al lograr un primitivo de escritura en memoria en el kernel y corromper la memoria de la caché de páginas del binario /usr/bin/su. **V12** ha lanzado un exploit de prueba de concepto (PoC).  ## Estrategias de mitigación Los mantenedores de **CloudLinux** aconsejan: "Los clientes que ya han aplicado la mitigación de Dirty Frag no necesitan tomar ninguna medida adicional hasta que se publiquen los kernels parcheados". **Red Hat** dijo que está realizando una evaluación para confirmar si las mitigaciones existentes se extienden a **CVE-2026-46300**. **Wiz** también señaló que las restricciones de **AppArmor** en espacios de nombres de usuario sin privilegios pueden servir como una mitigación parcial, requiriendo bypasses adicionales para una explotación exitosa. Sin embargo, a diferencia de Dirty Frag, no se requieren privilegios a nivel de host. **Microsoft** insta: "Hay un parche disponible y, aunque no se ha observado ninguna explotación en uso en este momento, instamos a los usuarios y organizaciones a aplicar el parche lo antes posible ejecutando las herramientas de actualización. Si el parche no es posible en este momento, considere aplicar las mismas mitigaciones para Dirty Frag." Esto incluye deshabilitar esp4, esp6 y la funcionalidad xfrm/IPsec relacionada, restringir el acceso innecesario al shell local, endurecer las cargas de trabajo en contenedores y aumentar la monitorización de la actividad anormal de escalada de privilegios. ## Exploit 0-day LPE en foros de cibercrimen El desarrollo se produce mientras se observa a un actor de amenazas llamado "berz0k" anunciando en foros de cibercrimen un exploit LPE de Linux 0-day por $170,000, afirmando que funciona en múltiples distribuciones importantes de Linux. "El actor de amenazas afirma que la vulnerabilidad se basa en TOCTOU (Time-of-Check Time-of-Use), capaz de una escalada de privilegios local estable sin causar fallos del sistema, y aprovecha un payload de objeto compartido (.so) depositado en el directorio /tmp", publicó **ThreatMon** en X.