最近発見されたDirty Frag Linuxローカル権限昇格（LPE）脆弱性の新たな亜種である「Fragnesia」に関する詳細が明らかになりました。この脆弱性は、ローカル攻撃者がroot権限を取得することを可能にし、わずか2週間の間にカーネルで特定された同様のバグとしては3件目となります。 ## Fragnesia：詳細 このセキュリティ脆弱性はCVE-2026-46300（CVSSスコア：7.8）として追跡されており、LinuxカーネルのXFRM ESP-in-TCPサブシステムに根差しています。これは、ZellicのResearcher William Bowling氏とV12セキュリティチームによって発見されました。 Google傘下のWizは、「この脆弱性により、権限のないローカル攻撃者はカーネルページキャッシュ内の読み取り専用ファイルのコンテンツを変更し、決定論的なページキャッシュ破損プリミティブを通じてroot権限を達成できます」と述べています。 ## ベンダーアドバイザリ 複数のLinuxディストリビューションからアドバイザリがリリースされています。 * [AlmaLinux](https://almalinux.org/blog/2026-05-13-fragnesia-cve-2026-46300/) * [Amazon Linux](https://aws.amazon.com/security/security-bulletins/rss/2026-029-aws/) * [CloudLinux](https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update) * [Debian](https://security-tracker.debian.org/tracker/CVE-2026-46300) * [Gentoo](https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-46300) * [Red Hat Enterprise Linux](https://access.redhat.com/security/cve/cve-2026-46300) * [SUSE](https://www.suse.com/security/cve/CVE-2026-46300.html) * [Ubuntu](https://ubuntu.com/security/CVE-2026-46300) V12は、「これはDirty Fragとは別のESP/XFRMのバグであり、独自のパッチが適用されています。しかし、表面上は同じであり、緩和策もDirty Fragと同じです。Linux XFRM ESP-in-TCPサブシステムのロジックバグを悪用して、レースコンディションを必要とせずに、読み取り専用ファイルのカーネルページキャッシュに任意のバイト書き込みを達成します」と述べています。 ## Copy FailおよびDirty Fragとの類似性 Fragnesiaは、Copy FailおよびDirty Frag（別名Copy Fail 2）と類似しており、カーネル内でメモリ書き込みプリミティブを達成し、/usr/bin/suバイナリのページキャッシュメモリを破損させることで、すべての主要ディストリビューションで即座にroot権限を奪取します。V12によって、Proof-of-Concept（PoC）exploitが公開されています。  ## 緩和策 CloudLinuxのメンテナーは、「Dirty Fragの緩和策を既に適用している顧客は、パッチが適用されたカーネルがリリースされるまで、追加のアクションは必要ありません」とアドバイスしています。Red Hatは、既存の緩和策がCVE-2026-46300にも適用されるかを確認するために評価を実施していると述べています。 Wizはまた、権限のないユーザー名前空間に対するAppArmorの制限が部分的な緩和策として機能する可能性があり、成功したexploitには追加のバイパスが必要になると指摘しています。しかし、Dirty Fragとは異なり、ホストレベルの権限は必要ありません。 Microsoftは、「パッチが利用可能であり、現時点ではin-the-wildでのexploitは確認されていませんが、ユーザーおよび組織は、アップデートツールを実行してできるだけ早くパッチを適用することを強く推奨します。現時点でパッチ適用が不可能な場合は、Dirty Fragと同じ緩和策を適用することを検討してください」と促しています。 これには、esp4、esp6、および関連するxfrm/IPsec機能の無効化、不要なローカルシェルアクセスの制限、コンテナ化されたワークロードの強化、異常な権限昇格アクティビティの監視強化が含まれます。 ## サイバー犯罪フォーラムでのゼロデイLPE Exploit この開発は、サイバー犯罪フォーラムで「berz0k」という名前の脅威アクターが、複数の主要なLinuxディストリビューションで動作すると主張するゼロデイLinux LPE exploitを170,000ドルで宣伝していることが確認された中で行われました。 ThreatMonはX（旧Twitter）で、「脅威アクターは、脆弱性がTOCTOU（Time-of-Check Time-of-Use）ベースであり、システムクラッシュを引き起こすことなく安定したローカル権限昇格が可能で、共有オブジェクト（.so）payloadを/tmpディレクトリにドロップして悪用すると主張しています」と投稿しました。