Des détails ont émergé concernant **Fragnesia**, une nouvelle variante de la récente vulnérabilité d'escalade de privilèges locale (LPE) Dirty Frag pour Linux, qui permet aux attaquants locaux d'obtenir un accès root, en faisant le troisième bug de ce type identifié dans le noyau en l'espace de deux semaines. ## Fragnesia : Les détails La vulnérabilité de sécurité est référencée **CVE-2026-46300** (score CVSS : 7.8) et est ancrée dans le sous-système XFRM ESP-in-TCP du noyau Linux. Elle a été découverte par le chercheur William Bowling de **Zellic** et l'équipe de sécurité **V12**. « La vulnérabilité permet à des attaquants locaux non privilégiés de modifier le contenu de fichiers en lecture seule dans le cache de pages du noyau et d'obtenir des privilèges root grâce à un primitif de corruption déterministe du cache de pages », a déclaré **Wiz**, propriété de **Google**. ## Avis des fournisseurs Des avis ont été publiés par plusieurs distributions Linux : * [AlmaLinux](https://almalinux.org/blog/2026-05-13-fragnesia-cve-2026-46300/) * [Amazon Linux](https://aws.amazon.com/security/security-bulletins/rss/2026-029-aws/) * [CloudLinux](https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update) * [Debian](https://security-tracker.debian.org/tracker/CVE-2026-46300) * [Gentoo](https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-46300) * [Red Hat Enterprise Linux](https://access.redhat.com/security/cve/cve-2026-46300) * [SUSE](https://www.suse.com/security/cve/CVE-2026-46300.html) * [Ubuntu](https://ubuntu.com/security/CVE-2026-46300) **V12** a déclaré : « Il s'agit d'un bug distinct dans ESP/XFRM par rapport à Dirty Frag, qui a reçu son propre correctif. Cependant, il se situe dans la même surface et la mitigation est la même que pour Dirty Frag. Il abuse d'un bug logique dans le sous-système XFRM ESP-in-TCP de Linux pour réaliser des écritures d'octets arbitraires dans le cache de pages du noyau de fichiers en lecture seule, sans nécessiter de condition de concurrence. » ## Similitudes avec Copy Fail et Dirty Frag Fragnesia est similaire à Copy Fail et Dirty Frag (alias Copy Fail 2) en ce sens qu'il accorde immédiatement le root sur toutes les distributions majeures en réalisant un primitif d'écriture mémoire dans le noyau et en corrompant la mémoire du cache de pages du binaire `/usr/bin/su`. Un exploit proof-of-concept (PoC) a été publié par **V12**.  ## Stratégies de mitigation Les mainteneurs de **CloudLinux** conseillent : « Les clients qui ont déjà appliqué la mitigation Dirty Frag n'ont pas besoin d'actions supplémentaires jusqu'à la publication des noyaux patchés. » **Red Hat** a déclaré qu'il effectuait une évaluation pour confirmer si les mitigations existantes s'étendent à **CVE-2026-46300**. **Wiz** a également noté que les restrictions **AppArmor** sur les espaces de noms utilisateur non privilégiés peuvent servir de mitigation partielle, nécessitant des contournements supplémentaires pour une exploitation réussie. Cependant, contrairement à Dirty Frag, aucun privilège au niveau de l'hôte n'est requis. **Microsoft** exhorte : « Un correctif est disponible, et bien qu'aucune exploitation en cours d'observation n'ait été observée à ce jour, nous exhortons les utilisateurs et les organisations à appliquer le correctif dès que possible en utilisant les outils de mise à jour. Si la correction n'est pas possible à ce stade, envisagez d'appliquer les mêmes mitigations que pour Dirty Frag. » Cela inclut la désactivation de esp4, esp6 et des fonctionnalités xfrm/IPsec associées, la restriction de l'accès shell local inutile, le renforcement des charges de travail conteneurisées et l'augmentation de la surveillance des activités anormales d'escalade de privilèges. ## Exploit LPE zero-day sur les forums de cybercriminalité Ce développement intervient alors qu'un acteur de la menace nommé « berz0k » a été observé faisant de la publicité sur des forums de cybercriminalité pour un exploit LPE Linux zero-day au prix de 170 000 $, affirmant qu'il fonctionne sur plusieurs distributions Linux majeures. « L'acteur de la menace affirme que la vulnérabilité est basée sur TOCTOU (Time-of-Check Time-of-Use), capable d'une escalade de privilèges locale stable sans provoquer de plantages système, et exploite un payload d'objet partagé (.so) déposé dans le répertoire /tmp », a posté **ThreatMon** sur X.