Кога поправките за сигурност отварят нови дупки: Fragnesia и опасностите в Linux kernel

Ако следите новините за сигурността в Linux, сигурно сте забелязали тревожен тренд. Всеки месец или два изскача нова уязвимост за privilege escalation. И всяка следваща изглежда още по-опасна. Най-новата е Fragnesia, разкрита от William Bowling от V12 Security през май 2026 г.

Това, което прави Fragnesia толкова забележителна, е как подчертава основен проблем в kernel сигурността. Понякога поправките, които затварят една дупка, отварят друга – директно в сърцето на системата.

Как работи Fragnesia: Разглеждаме атаката

Fragnesia е локална уязвимост за privilege escalation в XFRM (IPsec Transform) ESP-in-TCP подсистемата на Linux kernel. За новите: XFRM управлява трансформациите на криптирания мрежов трафик, а ESP е протокол за сигурни връзки.

Атакуващият с unprivileged достъп може да манипулира kernel page cache през тази подсистема. Резултатът? Прекрива ключови системни файлове като /usr/bin/su директно в паметта. Файловете на диска остават незасегнати. Това обърква инструментите за мониторинг на filesystem integrity.

Защо да ви е притрябвало точно сега

За да се експлоатира, трябва:

• Unprivileged локален достъп (атикът вече е в системата)
• Право да създаваш user namespaces (функция от контейнерите)

Това засяга почти всички съвременни Linux дистрибуции без AppArmor или подобни ограничения. Ако ползвате Kubernetes, контейнеризирани приложения или multi-tenant среди – внимавайте.

Fragnesia се отличава от Copy Fail (CVE-2026-31431) или DirtyFrag с детерминирания си характер. Няма race conditions или късмет. Атаката работи винаги, давайки стабилен root достъп.

Тревожният модел, който никой не иска

Fragnesia се появи от... предишни kernel patches. Това показва класическия конфликт: поправките са задължителни, но хората пишат код в сложни системи. Една поправка в едно място създава дупка в друго.

Същото видяхме с DirtyFrag дни преди. Attack surface-ът на kernel се разраства, въпреки усилията на сигурностните екипи.

Действайте веднага

Бързи стъпки:

• Ако сте уязвими, премахнете модулите: rmmod esp4 esp6 rxrpc
• Забранете unprivileged user namespaces, ако не ви трябват контейнери
• Проверете кои системи позволяват namespace създаване
• Следете PoC код в репозиторията и логовете си за атаки

За по-дългосрочен план:

• Прегледайте container security – наистина ли ви трябват unprivileged namespaces навсякъде?
• Включете SELinux или AppArmor за политика на namespace
• Следете kernel patches и ги инсталирайте бързо, но разбирайте какво променят
• Клиенти на NameOcean: нашата cloud инфраструктура има изолация, но прилагайте least privilege в акаунтите си

По-широката картина

Fragnesia е част от бързия поток от сложни kernel уязвимости. Тя напомня: сигурността в kernel е тежка битка между производителност, функции и защита.

В NameOcean знаем, че основата под приложенията ви е ключова. Дали self-host на dedicated servers, или Vibe Hosting с AI deployment – kernel patches и config са част от рутината.

Иронията? Уязвимост от security patches. Няма магия. Бъдете в крак, поддържайте хигиена, използвайте defense-in-depth и реагирайте бързо.

Актуализирайте kernel-а, но проверявайте промените. През 2026 г. това е основна ops сигурност.