Maxime288/Fragnesia-CVE-2026-46300

# 🔴 Fragnesia — CVE-2026-46300 ### Linux 内核本地提权漏洞 · CVSS 7.8 · 2026年5月14日披露 ## 📋 概要 | 字段 | 值 | |--------------------|-----------------------------------------------------------| | **CVE** | CVE-2026-46300 | | **名称** | Fragnesia | | **严重性** | 高危 (CVSS 7.8) | | **类型** | 本地权限提升 (LPE) | | **组件** | Linux 内核 — XFRM ESP-in-TCP 子系统 | | **发现者** | William Bowling (V12 Security / Zellic.io) | | **披露日期** | 2026年5月14日 | | **上游补丁** | 2026年5月13日 — `[PATCH net] net: skbuff: preserve shared-frag marker during coalescing` | | **公开 PoC** | ✅ 是 (于披露当日发布) | | **野外利用观察** | ❌ 截至目前未观察到 | ## 🧬 背景与谱系 Fragnesia 是**两周内**在 Linux 内核 IPsec 子系统中发现的系列漏洞中的**第三个**： ``` Dirty Frag (CVE-2026-43284) ──► Copy Fail (CVE-2026-43500) ──► Fragnesia (CVE-2026-46300) Mai 2026 Mai 2026 14 mai 2026 ``` 具有讽刺意味的是，**Dirty Frag 的补丁意外地激活了 Fragnesia 漏洞** — 对 `CVE-2026-43284` 的修复引入了一条代码路径，暴露了一个自 2013 年提交以来就已存在的错误。 ## 🔬 技术分析 ### 错误根源 漏洞存在于内核的套接字缓冲区代码 `skb_try_coalesce()` 函数中。在缓冲区之间合并片段时，**`SKBFL_SHARED_FRAG` 标记未被传播**，导致内核丢失了某个片段依赖于页面缓存中的页面（例如，通过 `splice()` 映射到内存的文件）的追踪。 ### 利用链 ``` 1. L'attaquant ouvre un socket TCP 2. Il splice() des pages d'un fichier read-only (ex. /usr/bin/su) dans la receive queue 3. Le socket bascule en mode espintcp (ULP) 4. Le noyau traite les pages du fichier comme du texte chiffré ESP 5. La décryption AES-GCM in-place écrit des octets contrôlés dans le page cache 6. /usr/bin/su en mémoire est corrompu → exécution de code root au prochain appel ``` ### 显著特征 - ✅ **无竞争条件** — 利用过程 100% 确定性 - ✅ **无磁盘修改** — 仅内存副本被篡改（重启可恢复状态） - ✅ **利用用户命名空间**（默认启用）来获得 `CAP_NET_ADMIN` 权限，无需高特权 - ✅ **攻击者可读的任何文件**都可被作为目标，不仅仅是 `su` - ⚠️ 传统基于磁盘的检测工具**难以发现** ## 🛡️ 受影响系统 **2026年5月13日之前发布的所有包含 `SKBFL_SHARED_FRAG` 机制的 Linux 内核**。 受影响发行版包括但不限于： | 发行版 | 补丁状态 | |----------------------|----------------------------| | Ubuntu 22.04 / 24.04 | ✅ 已打补丁 | | Debian 11 / 12 | ✅ 已打补丁 | | AlmaLinux | ✅ 已打补丁（早于 RHEL） | | Red Hat / RHEL | ✅ 已发布安全公告 | | SUSE / openSUSE | ✅ 已发布安全公告 | | Amazon Linux | ✅ 已发布安全公告 | | Fedora | ✅ 已打补丁 | | Arch Linux | ✅ 已打补丁 | | CentOS / Rocky Linux | ✅ 已打补丁 | ### 高风险环境 - 🏢 多用户服务器和跳板机 - ☸️ Kubernetes worker 节点 - 🏗️ 共享的 CI/CD 环境和构建运行器 - ☁️ 执行用户代码的云 SaaS 平台 - 🐳 容器集群（宿主机上共享的页面缓存） ## 🛡️ 修复措施 ### 1. 补丁 — 最终解决方案 更新到已修复的内核： ``` # Debian / Ubuntu sudo apt-get update && sudo apt-get dist-upgrade -y sudo reboot uname -r # Vérifier la version du nouveau noyau # RHEL / AlmaLinux / Rocky Linux sudo dnf clean metadata && sudo dnf upgrade -y sudo reboot # Arch Linux sudo pacman -Syu sudo reboot ``` ### 2. 临时缓解 — 禁用易受攻击的模块 如果无法立即更新： ``` # 卸载活动模块 sudo rmmod esp4 esp6 rxrpc 2>/dev/null; true # 永久屏蔽模块 printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \ | sudo tee /etc/modprobe.d/fragnesia.conf # 重新生成 initramfs (Debian/Ubuntu) sudo update-initramfs -u ``` ### 3. 检查系统暴露程度 ``` # 检查易受攻击的模块是否已加载 lsmod | grep -E '^esp4|^esp6|^rxrpc' # 如果命令返回内容 → 系统已暴露 # 检查当前内核版本 uname -r cat /etc/os-release ``` ### 4. 补充措施（容器/云环境） - 通过 **Seccomp** 禁止创建 `AF_ALG` 套接字 - 阻止非特权用户创建用户命名空间 - 监控对 `/etc/passwd`、`/etc/sudoers`、`/etc/shadow`、`/usr/bin/su` 的异常访问 - 限制非特权用户的 `splice`、`add_key` 和 `unshare` 系统调用 ### 5. 后利用处理 — 刷新页面缓存 如果在应用补丁前怀疑已发生利用： ``` sync; echo 3 | sudo tee /proc/sys/vm/drop_caches ``` ## 🔍 检测 ### 入侵指标 (IoC) 检测工具应监控： - 对 `/usr/bin/su`、`/usr/bin/sudo`、`/bin/bash` 的异常**内存**访问或修改 - 非特权用户调用的异常系统调用：`splice()`、`add_key()`、`unshare()` - 在非预期系统上创建网络用户命名空间 - 非特权用户套接字上的 `espintcp` 网络活动 ## 📚 官方参考 - 🔗 [Red Hat 安全公告 — CVE-2026-46300](https://access.redhat.com/security/cve/CVE-2026-46300) - 🔗 [上游 netdev 补丁](https://lists.openwall.net/netdev/2026/05/13/79) - 🔗 [AlmaLinux 博客 — Fragnesia](https://almalinux.org/blog/2026-05-13-fragnesia-cve-2026-46300/) - 🔗 [Tenable 常见问题 — CVE-2026-46300](https://www.tenable.com/blog/fragnesia-cve-2026-46300-faq-about-new-linux-kernel-xfrm-esp-in-tcp-priv-esc) - 🔗 [TuxCare — 技术分析](https://tuxcare.com/blog/fragnesia-cve-2026-46300-is-a-new-linux-kernel-lpe/) - 🔗 [Help Net Security — 披露报告](https://www.helpnetsecurity.com/2026/05/14/fragnesia-cve-2026-46300-linux-lpe-vulnerability/) - 🔗 [NSFOCUS CERT 安全公告](https://nsfocusglobal.com/linux-kernel-fragnesia-privilege-escalation-vulnerability-cve-2026-46300-notice/) - 🔗 [LinuxSecurity.com](https://linuxsecurity.com/features/fragnesia-linux-privilege-escalation) - 🔗 [SOC Prime 博客](https://socprime.com/blog/cve-2026-46300-fragnesia-linux-kernel-flaw/) ## ⚖️ 法律与道德声明 本仓库仅出于**教育和防御目的**发布。不包含任何利用代码 (PoC)。 将本仓库中的信息用于恶意目的或在未获得明确授权的情况下用于第三方系统是**非法**且违背道德的。作者对信息的滥用不承担任何责任。 ## 👤 作者 **Maxime288** — [github.com/Maxime288](https://github.com/Maxime288) *安全监测仓库 — 跟踪关键 Linux 漏洞*

标签：CVE-2026-46300, CVSS 7.8, ESP-in-TCP, Fragnesia, IPsec子系统, Linux内核安全, socket缓冲区, Web报告查看器, XFRM协议, 内核漏洞, 安全渗透, 本地特权提升, 权限提升漏洞, 漏洞分析, 端点安全, 网络安全漏洞, 补丁管理, 路径探测