Fragnesia: Lỗ hổng kế tiếp của Dirty Frag giúp kẻ tấn công chiếm quyền Root trên Linux

Các quản trị viên Linux hy vọng "Dirty Frag" chỉ là một sự cố ngẫu nhiên trong ngăn xếp mạng của nhân kernel, nhưng thực tế tồi tệ hơn nhiều. Các nhà nghiên cứu tại Wiz đã công bố phân tích về "Fragnesia", một lỗ hổng leo thang đặc quyền cục bộ trong nhân Linux được phát hiện bởi William Bowling của nhóm bảo mật V12. Lỗi này, được theo dõi dưới mã CVE-2026-46300, cho phép người dùng không có đặc quyền có được quyền root bằng cách làm hỏng bộ nhớ đệm trang (page cache).

Đã có mã khai thác khái niệm (proof-of-concept) công khai trên GitHub, chứng minh việc sử dụng lỗ hổng này để tấn công /usr/bin/su và tạo ra một root shell. Theo Wiz (công ty con của Google), lỗi này nằm trong hệ thống con XFRM của nhân Linux, cụ thể là trong quá trình xử lý ESP-in-TCP liên quan đến hỗ trợ IPsec. Bằng cách kích hoạt lỗi một cách tinh vi, kẻ tấn công có thể sửa đổi dữ liệu tệp được bảo vệ trong bộ nhớ mà không làm thay đổi các tệp gốc được lưu trên đĩa.

Wiz mô tả Fragnesia là một phần của họ lỗi "Dirty Frag" rộng lớn hơn thay vì một lớp vấn đề hoàn toàn riêng biệt. Bản thân Dirty Frag chỉ mới xuất hiện vài ngày trước và đã thu hút sự chú ý nhờ mã khai thác công khai. Theo nhà nghiên cứu Hyunwoo Kim, người đã phát hiện ra Dirty Frag, "Fragnesia" xuất hiện như một tác dụng phụ không mong muốn của các bản vá được phát hành để sửa các lỗ hổng Dirty Frag gốc.

Trước đó, Dirty Frag xuất hiện ngay sau lỗi "Copy Fail", một lỗ hổng leo thang đặc quyền khác của nhân Linux lạm dụng việc xử lý bộ nhớ đệm trang để ghi đè các tệp chỉ đọc. Về mặt lịch sử, các lỗi leo thang đặc quyền cục bộ của Linux thường có tiếng là không đáng tin cậy, dễ gây lỗi hệ thống hoặc khó thực hiện. Tuy nhiên, Fragnesia lại khác biệt, vì cả Wiz và V12 đều khẳng định việc khai thác lỗi này hoàn toàn tránh được các điều kiện tranh chấp (race conditions), khiến nó dễ dự đoán hơn nhiều so với các khai thác root Linux cũ như Dirty COW.

Điều này làm cho lỗi này trở nên hữu ích hơn nhiều sau khi xâm nhập ban đầu. Một kẻ tấn công có quyền truy cập vào hệ thống qua lừa đảo (phishing), thông tin xác thực bị đánh cắp hoặc khối lượng công việc đám mây dễ bị tổn thương đột nhiên có một con đường sạch sẽ hơn để có quyền truy cập root hoàn toàn.

Kho lưu trữ khái niệm của V12 đã công khai, trong khi các nhà cung cấp Linux đã bắt đầu đưa ra các cảnh báo và hướng dẫn giảm thiểu. AlmaLinux cảnh báo rằng tất cả các bản phát hành được hỗ trợ đều bị ảnh hưởng và khuyến khích quản trị viên vá lỗi nhanh chóng hoặc tắt các chức năng liên quan đến ESP không sử dụng. Các cảnh báo tương tự cũng đã được đưa ra bởi Amazon Linux, CloudLinux, Debian, Gentoo, Red Hat Enterprise Linux, SUSE và Ubuntu.

Microsoft cũng kêu gọi các tổ chức vá lỗi nhanh chóng, lưu ý rằng mặc dù chưa quan sát thấy khai thác trong tự nhiên, Fragnesia "có thể sửa đổi bất kỳ tệp nào có thể đọc được bởi người dùng, bao gồm /etc/passwd". Ngăn xếp mạng của Linux đang bắt đầu trông ít giống cơ sở hạ tầng hơn và giống như một máy bán hàng tự động khai thác root hơn.