Impatto Sistemico

Critico (76.66)

Sintesi

Disponibile un Proof of Concept (PoC) per “ Fragnesia ”, nuova vulnerabilità nel kernel Linux, identificata tramite la CVE-2026-46300. La vulnerabilità interessa il sottosistema XFRM ESP-in-TCP, parte dell’implementazione di IPsec in Linux, utilizzato per incapsulare il traffico IPsec ESP all’interno di una connessione TCP. La vulnerabilità, qualora sfruttata, potrebbe consentire a un utente non privilegiato l’ottenimento di privilegi di root sul sistema.

Tipologia

• Privilege Escalation

Descrizione e potenziali impatti

Disponibile un Proof of Concept (PoC) per “ Fragnesia ”, nuova vulnerabilità nel kernel Linux, appartenente alla stessa classe di bug di “ Copy Fail” e “Dirty Frag” , già trattate nell’ambito dell’ AL02/260430/CSIRT-ITA e dell’ AL02/260508/CSIRT-ITA . La vulnerabilità interessa il sottosistema XFRM ESP-in-TCP, parte dell’implementazione di IPsec in Linux, utilizzato per incapsulare il traffico IPsec ESP all’interno di una connessione TCP.

Nel dettaglio la vulnerabilità, identificata tramite la CVE-2026-46300 e con score CVSSv3.x pari a 7.8, risiede nel fatto che quando un socket TCP passa in modalità ESP-in-TCP dopo che i dati sono già stati trasferiti da un file nella coda di ricezione, il kernel interpreta erroneamente tali dati come traffico IPsec cifrato e tenta di decifrarli direttamente in memoria. Questo comportamento può portare alla modifica delle pagine della page cache associate al file. Manipolando opportunamente alcuni parametri del protocollo, un utente locale privo di privilegi può ottenere una capacità di scrittura arbitraria limitata nella cache del kernel e sfruttarla per eseguire codice con privilegi di root sui sistemi interessati.

Prodotti e versioni affette

Distribuzioni Linux confermate come vulnerabili:

• RHEL 8, 9 e 10, componenti kernel e kernel-rt
• AlmaLinux 8, versioni del kernel precedenti alla 4.18.0-553.124.2.el8_10
• AlmaLinux 9, versioni del kernel precedenti alla 5.14.0-611.54.4.el9_7
• AlmaLinux 10, versioni del kernel precedenti alla 6.12.0-124.56.2.el10_1
• Debian bullseye, kernel 5.10.223-1 e precedenti
• Debian bullseye (security), kernel 5.10.251-4 e precedenti
• Debian bookworm, kernel 6.1.159-1 e precedenti
• Debian bookworm (security), kernel 6.1.170-3 e precedenti
• Debian trixie, kernel 6.12.73-1 e precedenti
• Debian trixie (security), kernel 6.12.86-1 e precedenti
• Debian forky, sid, kernel 7.0.4-1 e precedenti
• Red Hat OpenShift Container Platform 4

Azioni di mitigazione

Aggiornare il kernel Linux alla release contenente la patch risolutiva, qualora disponibile per la distribuzione in uso.

In alternativa è possibile adottare le medesime misure di mitigazione già suggerite per “Dirty Frag” , ricordando che:

• sono soluzioni di emergenza e temporanee. Non sostituiscono la patch del vendor/distributore Linux, qualora disponibile;
• potrebbero comportare effetti collaterali operativi;
• non eliminano il rischio derivante dall’eventuale esecuzione pregressa di un exploit.

Il comando sottostante disabilita le componenti vulnerabili del kernel. È il metodo più rapido per rendere l’eventuale exploit inerte:

sudo sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”

• Cosa fa: impedisce al sistema di caricare i moduli esp4 ed esp6 di IPsec e il modulo rxrpc di AFS , e tentandone la rimozione qualora presenti in memoria.
• Limiti: ove i moduli siano in uso, ad esempio in presenza di una VPN IPsec attiva, il comando rmmod potrebbe fallire silenziosamente mantenendo il sistema vulnerabile fino al successivo riavvio. La regola scritta in /etc/modprobe.d/ impedirà comunque il ricaricamento dopo il reboot.

Dopo aver eseguito i passaggi, si raccomanda la verifica dei moduli caricati nel sistema tramite il comando lsmod | grep -E “esp|rxrpc” : tale comando non deve restituire nulla. Infine, per escludere possibili potenziali violazioni pregresse, risulta necessario procedere con il riavvio del sistema.