Detalhes emergiram sobre **Fragnesia**, uma nova variante da recente vulnerabilidade de escalonamento local de privilégios (LPE) Dirty Frag no Linux, que permite que atacantes locais obtenham acesso root, tornando-se o terceiro bug desse tipo a ser identificado no kernel em um período de duas semanas. ## Fragnesia: Os Detalhes A vulnerabilidade de segurança é rastreada como **CVE-2026-46300** (pontuação CVSS: 7.8) e está enraizada no subsistema XFRM ESP-in-TCP do kernel Linux. Foi descoberta pelo pesquisador William Bowling da **Zellic** e pela equipe de segurança **V12**. "A vulnerabilidade permite que atacantes locais sem privilégios modifiquem o conteúdo de arquivos somente leitura no cache de páginas do kernel e alcancem privilégios root através de um primitivo determinístico de corrupção do cache de páginas", disse a **Wiz**, propriedade do **Google**. ## Avisos dos Fornecedores Avisos foram emitidos por várias distribuições Linux: * [AlmaLinux](https://almalinux.org/blog/2026-05-13-fragnesia-cve-2026-46300/) * [Amazon Linux](https://aws.amazon.com/security/security-bulletins/rss/2026-029-aws/) * [CloudLinux](https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update) * [Debian](https://security-tracker.debian.org/tracker/CVE-2026-46300) * [Gentoo](https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-46300) * [Red Hat Enterprise Linux](https://access.redhat.com/security/cve/cve-2026-46300) * [SUSE](https://www.suse.com/security/cve/CVE-2026-46300.html) * [Ubuntu](https://ubuntu.com/security/CVE-2026-46300) A **V12** declarou: "Este é um bug separado no ESP/XFRM do Dirty Frag que recebeu seu próprio patch. No entanto, ele está na mesma superfície e a mitigação é a mesma do Dirty Frag. Ele abusa de um bug lógico no subsistema XFRM ESP-in-TCP do Linux para obter escritas de bytes arbitrárias no cache de páginas do kernel de arquivos somente leitura, sem exigir nenhuma condição de corrida." ## Semelhanças com Copy Fail e Dirty Frag Fragnesia é semelhante a Copy Fail e Dirty Frag (também conhecido como Copy Fail 2) no sentido de que concede root imediatamente em todas as principais distribuições ao obter um primitivo de escrita de memória no kernel e corromper a memória do cache de páginas do binário /usr/bin/su. Um exploit de prova de conceito (PoC) foi lançado pela **V12**.  ## Estratégias de Mitigação Os mantenedores do **CloudLinux** aconselham: "Clientes que já aplicaram a mitigação do Dirty Frag não precisam de nenhuma ação adicional até que os kernels corrigidos sejam lançados." A **Red Hat** disse que está realizando uma avaliação para confirmar se as mitigações existentes se estendem ao **CVE-2026-46300**. A **Wiz** também observou que restrições do **AppArmor** em namespaces de usuários sem privilégios podem servir como uma mitigação parcial, exigindo bypasses adicionais para exploração bem-sucedida. No entanto, ao contrário do Dirty Frag, nenhum privilégio de nível de host é necessário. A **Microsoft** recomenda: "Um patch está disponível e, embora nenhuma exploração em campo tenha sido observada até o momento, instamos usuários e organizações a aplicar o patch o mais rápido possível executando as ferramentas de atualização. Se o patching não for possível neste momento, considere aplicar as mesmas mitigações para o Dirty Frag." Isso inclui desabilitar esp4, esp6 e funcionalidades relacionadas de xfrm/IPsec, restringir o acesso desnecessário ao shell local, fortalecer cargas de trabalho em contêineres e aumentar o monitoramento de atividades anormais de escalonamento de privilégios. ## Exploit 0-day LPE em Fóruns de Cybercrime O desenvolvimento ocorre enquanto um ator de ameaça chamado "berz0k" tem sido observado anunciando em fóruns de cybercrime um exploit LPE 0-day para Linux por US$ 170.000, alegando que funciona em várias distribuições Linux importantes. "O ator de ameaça afirma que a vulnerabilidade é baseada em TOCTOU (Time-of-Check Time-of-Use), capaz de escalonamento local de privilégios estável sem causar travamentos do sistema, e alavanca um payload de objeto compartilhado (.so) depositado no diretório /tmp", postou a **ThreatMon** no X.