Linux-distributies brengen patches uit voor een nieuwe ernstige kernelkwetsbaarheid die lokale aanvallers in staat stelt om met rootrechten kwaadaardige code uit te voeren. Deze kwetsbaarheid, bekend als Fragnasia en geregistreerd als CVE-2026-46300, ontstaat door een logische fout in de Linux XFRM ESP-in-TCP subsystemen. Hierdoor kunnen onbevoegde lokale gebruikers willekeurige bytes schrijven naar de kernel page cache van alleen-lezen bestanden, wat leidt tot privilege-escalatie.

William Bowling, hoofd assurance bij Zellic en ontdekker van deze universele lokale privilege-escalatie, publiceerde tevens een proof-of-concept exploit. Deze exploit maakt gebruik van een geheugen-schrijfbewerking in de kernel om de page cache van het /usr/bin/su-binaire bestand te corrumperen, waarmee een shell met rootrechten kan worden verkregen op kwetsbare systemen. Volgens Bowling behoort Fragnasia tot de klasse van kwetsbaarheden die bekendstaat als Dirty Frag, die vorige week werd onthuld en alle Linux-kernels vóór 13 mei 2026 treft. Net als Fragnasia heeft Dirty Frag een publieke proof-of-concept exploit waarmee lokale aanvallers rootrechten kunnen verkrijgen op grote Linux-distributies.

Dirty Frag werkt door het combineren van twee afzonderlijke kernelkwetsbaarheden, namelijk de xfrm-ESP Page-Cache Write kwetsbaarheid (CVE-2026-43284) en een RxRPC Page-Cache Write beveiligingsprobleem (CVE-2026-43500), om zo privilege-escalatie te bereiken door beschermde systeembestanden in het geheugen aan te passen. Bowling benadrukt dat Fragnasia een aparte bug is in het ESP/XFRM subsystem, verschillend van Dirty Frag, maar dat de mitigaties identiek zijn. De kwetsbaarheid maakt misbruik van een logische fout in het Linux XFRM ESP-in-TCP subsystem om willekeurige byte-writes naar de kernel page cache van alleen-lezen bestanden mogelijk te maken, zonder dat er sprake is van een raceconditie.

Om systemen te beveiligen wordt Linux-gebruikers dringend geadviseerd om zo snel mogelijk kernelupdates te installeren. Voor degenen die niet direct kunnen patchen, is een tijdelijke mitigatie beschikbaar die ook voor Dirty Frag wordt toegepast. Deze mitigatie verwijdert kwetsbare kernelmodules, maar kan wel leiden tot het uitvallen van AFS distributed network file systems en IPsec VPNs. De gebruikte commando’s zijn onder meer het verwijderen van modules esp4, esp6 en rxrpc en het blokkeren van hun herinstallatie via modprobe-configuratie.

De bekendmaking van Fragnasia komt terwijl Linux-distributies nog bezig zijn met het uitrollen van patches voor een andere privilege-escalatie kwetsbaarheid, genaamd "Copy Fail", die momenteel actief wordt misbruikt. De Amerikaanse cybersecurityorganisatie CISA voegde Copy Fail op 1 mei toe aan haar catalogus van actief misbruikte kwetsbaarheden en gaf federale instanties twee weken de tijd om hun Linux-systemen te beveiligen. Eerder, in april, werden ook patches uitgebracht voor een root-privilege escalatie in de PackageKit daemon, die jarenlang onopgemerkt was gebleven.