Специалисты по кибербезопасности из LoopDNS и V12 Security обнаружили серьезную брешь в безопасности ядра Linux под кодовым названием «Fragnesia». Данная уязвимость позволяет злоумышленникам реализовать локальное повышение привилегий, что представляет прямую угрозу для инфраструктуры облачных сервисов и контейнеризированных сред. Проблема затрагивает механизмы обработки сетевого трафика и напрямую связана с архитектурными особенностями стека TCP/IP в операционных системах на базе Linux.
Механизм атаки и технические детали
Уязвимость Fragnesia классифицируется как аналог ранее выявленной проблемы Dirty Frag, однако она затрагивает область атаки ESP/XFRM и является самостоятельной ошибкой в коде. Суть проблемы заключается в том, что ядро Linux некорректно обрабатывает флаг «shared fragment» при процедуре объединения TCP-пакетов. Это приводит к возможности обхода механизма copy-on-write (COW), который в нормальных условиях предотвращает несанкционированное изменение данных, используемых несколькими процессами одновременно.
- Локальный атакующий получает возможность модифицировать page cache (кеш страниц) защищенных файлов.
- Модификация происходит непосредственно в оперативной памяти, что позволяет изменять системные файлы, доступные только для чтения.
- Конечным результатом атаки становится получение прав суперпользователя (root).
Риски для серверных сред и облачных систем
Наибольшую опасность Fragnesia представляет для систем с общим доступом, таких как CI/CD-раннеры, хосты контейнеров и многопользовательские облачные платформы. Особенность уязвимости заключается в её скрытности: поскольку изменения вносятся в память, а не в физические файлы на накопителе, стандартные инструменты мониторинга целостности, полагающиеся на хеш-суммы дисковых данных, не фиксируют факт компрометации системы.
Ситуация осложняется тем, что системы, уже получившие исправления от Dirty Frag, все равно остаются уязвимыми перед Fragnesia, так как это отдельный вектор атаки в компонентах IPsec.
Рекомендации по устранению и защите
Для нейтрализации угрозы администраторам систем необходимо применить обновления ядра, выпущенные 13 мая 2026 года. В случаях, когда немедленное обновление невозможно, эксперты рекомендуют принять следующие превентивные меры:
- Временно отключить модули esp4 и esp6, если использование IPsec не является критически важным для бизнес-процессов.
- Ограничить права непривилегированных пользователей на создание новых пространств имен (namespaces).
- Категорически запретить назначение контейнерам привилегий CAP_NET_ADMIN, а также использование привилегированного или хостового сетевого режимов.
Своевременная установка патчей и ужесточение политик сетевого администрирования являются ключевыми факторами защиты от Fragnesia. Учитывая критический характер уязвимости, ИТ-подразделениям рекомендуется провести аудит используемых ядер Linux и обеспечить изоляцию потенциально уязвимых узлов в кратчайшие сроки для предотвращения возможной эскалации привилегий в корпоративных сетях.