Dopo Dirty Frag e Copy Fail, il kernel Linux torna sotto pressione con una nuova vulnerabilità critica. Il nuovo exploit, chiamato Fragnesia e identificato come CVE-2026-46300, introduce un ulteriore problema di corruzione della page cache che può essere sfruttato per ottenere privilegi root locali.
La scoperta arriva dal team di V12 Security guidato da William Bowling. Anche se Fragnesia utilizza un meccanismo differente rispetto a Dirty Frag, appartiene alla stessa famiglia di vulnerabilità legate alla gestione della memoria nel kernel Linux.
Il problema coinvolge il sottosistema XFRM ESP-in-TCP, una componente utilizzata per il traffico IPsec encapsulato in TCP. Secondo i ricercatori, un errore logico nella gestione dei frammenti condivisi dei buffer socket permette al kernel di perdere il flag SKBFL_SHARED_FRAG durante la fase di coalescenza TCP.
Questo comportamento porta il sistema a trattare frammenti collegati alla page cache come se fossero sicuri da modificare direttamente in memoria. In pratica l’attaccante può alterare dati presenti nella cache del kernel senza modificare realmente i file salvati sul disco.
Il proof of concept pubblicato dal team di ricerca prende di mira /usr/bin/su, sovrascrivendo temporaneamente parte del binario in memoria con codice capace di aprire una shell root. Il file originale resta intatto sul filesystem, ma il sistema continua a utilizzare la versione manipolata finché la cache non viene svuotata oppure il dispositivo non viene riavviato.
Questa caratteristica rende Fragnesia particolarmente insidioso, perché molte verifiche di integrità tradizionali controllano il contenuto su disco e non quello già caricato nella page cache del kernel.
Come funziona Fragnesia e perché preoccupa gli amministratori Linux
A differenza di numerosi exploit kernel, Fragnesia non richiede race condition complicate o tempistiche estremamente precise. L’attacco sfrutta una sequenza relativamente lineare: prima vengono inseriti dati provenienti da un file nella coda TCP di ricezione, poi il socket viene convertito in modalità espintcp ULP.
A questo punto il kernel interpreta le pagine provenienti dal file come dati ESP cifrati e procede con modifiche controllate direttamente nella cache della pagina. È proprio questo passaggio a consentire scritture arbitrarie nella memoria associata a file teoricamente in sola lettura.
Secondo il repository dell’exploit, risultano vulnerabili i sistemi già esposti a Dirty Frag e tutti i kernel Linux privi della patch pubblicata il 13 maggio 2026 sulla mailing list netdev. I ricercatori hanno confermato l’esecuzione dell’attacco su Ubuntu con kernel 6.8.0-111-generic.
La vulnerabilità interessa un’area molto delicata del kernel moderno: la gestione condivisa dei frammenti di memoria utilizzati dalla rete. Linux ottimizza continuamente trasferimenti e buffering per ridurre copie inutili dei dati, ma proprio queste ottimizzazioni possono introdurre scenari imprevisti quando memoria condivisa e page cache si sovrappongono.
Gli sviluppatori del kernel stanno già distribuendo correzioni, ma fino all’arrivo dei pacchetti aggiornati la mitigazione consigliata consiste nel disabilitare i moduli interessati se non necessari. In particolare vengono citati:
- esp4
- esp6
- rxrpc
La comparsa ravvicinata di Dirty Frag, Copy Fail e Fragnesia mostra quanto sia diventata complessa la gestione interna della memoria nel kernel Linux moderno. Le tecniche di ottimizzazione usate per migliorare networking e prestazioni stanno aumentando la superficie d’attacco disponibile ai ricercatori di sicurezza e, potenzialmente, agli attaccanti reali.
Per amministratori di sistema e utenti desktop Linux, il consiglio resta quello di aggiornare rapidamente il kernel appena le distribuzioni renderanno disponibili le patch ufficiali.
