Appelée « vulnérabilité importante », elle est similaire à Dirty Frag ; les fournisseurs se bousculent pour publier des correctifs.
Les administrateurs Linux, ébranlés par la gestion des vulnérabilités du noyau CopyFail du mois dernier et Dirty Frag de la semaine dernière, ont un nouveau casse-tête à gérer : Fragnesia.
Semblable à Dirty Frag, Fragnesia (CVE-2026-46300) est une faille d’élévation de privilèges locale qui exploite une vulnérabilité du sous-système XFRM ESP-in-TCP pour obtenir une primitive d’écriture mémoire dans le noyau. XFRM est un framework IP destiné aux transformations de paquets, et ESP-in-TCP (Encapsulated Security Payload in TCP) est une technique de mise en réseau utilisée pour encapsuler les paquets ESP IPsec dans des segments TCP.
Un exploit de preuve de concept (PoC) est déjà accessible au public.
La bonne nouvelle, selon Beggs, est que cette vulnérabilité ne peut pas être exploitée à distance. Un attaquant a besoin d’un accès local pour déclencher des chemins de code spécifiques et être capable de contrôler les opérations de socket locales et de manipuler la fragmentation des paquets.
Néanmoins, a-t-il ajouté, tout utilisateur non privilégié peut exploiter le bug sur un système vulnérable pour corrompre les fichiers sensibles à la sécurité en mémoire, tels que la configuration de la gestion des accès privilégiés, le mot de passe, les fichiers de service systemd ou les tâches cron. Bien que l’attaquant ne puisse pas modifier le fichier sur le disque, la modification des fichiers en mémoire peut tromper les processus privilégiés, modifier le comportement du système, exécuter du code arbitraire et élever les privilèges sur le système, a-t-il déclaré.
Les distributions Linux, notamment Red Hat, Ubuntu, AlmaLinux et d’autres, proposent des correctifs ou des mesures d’atténuation ; CloudLinux a déclaré qu’un correctif était en cours de test.
« Nous avons publié des solutions de contournement pour les modules du noyau esp4 et esp6 qui, selon nous, offrent une protection immédiate aux clients pendant que nous travaillons avec la communauté en amont pour identifier un correctif permanent sous la forme d’un correctif », a-t-il déclaré.
Selon le fournisseur de support Linux TuxCare, les systèmes exécutant les chemins de code concernés, y compris les noyaux qui ont déjà reçu le correctif Dirty Frag, sont concernés. Le PoC public nécessite que les systèmes dotés de l’option de configuration accèdent au bogue, donc les noyaux construits sans cette option bloquent cet exploit. Mais le défaut sous-jacent peut être atteint par d’autres voies.
Microsoft exhorte les utilisateurs et les organisations Linux à appliquer le correctif dès que possible en exécutant des outils de mise à jour. Si l’application de correctifs n’est pas possible à ce stade, envisagez d’appliquer les mêmes mesures d’atténuation que pour Dirty Frag, par exemple en évaluant si esp4, esp6 et les fonctionnalités xfrm/IPsec associées peuvent être temporairement désactivées en toute sécurité, en limitant les accès inutiles au shell local, en renforçant les charges de travail conteneurisées et en augmentant la surveillance des activités anormales d’élévation de privilèges.
Contenu connexe : Kill switch pour les fonctionnalités du noyau Linux proposées pour améliorer la sécurité
Beggs conseille aux administrateurs système de confirmer l’exposition du noyau en examinant les numéros de version, puis de mettre à jour vers un noyau corrigé si nécessaire et de redémarrer le système concerné. Si ESP-in-TCP n’est pas requis, désactivez le module et bloquez son utilisation ; cette atténuation peut également être appliquée immédiatement jusqu’à ce que l’application des correctifs soit terminée. Étant donné que la vulnérabilité nécessite un accès local, assurez-vous que les étapes de base telles que l’application de l’authentification multifacteur pour les comptes privilégiés, la désactivation de l’accès shell inutile et l’application du moindre privilège sont toutes en place.
Beggs a également déclaré que les administrateurs souhaiteraient peut-être accroître la surveillance des processus privilégiés (PAM, systemd, cron) et rechercher les redémarrages inattendus, les rechargements de configuration inattendus et les élévations soudaines de privilèges.
