Linux отново под прицел: експлойтът Fragnesia превръща всеки потребител в администратор

Експерт по киберсигурност разкри подробности за универсалния експлойт Fragnesia за локално повишаване на привилегиите в Linux, който позволява на всеки потребител без привилегии да получи пълен Root достъп, т.е. права на администратор. Експлойтът принадлежи към новия клас уязвимости Dirty Frag и използва логическа грешка, заровена дълбоко в мрежовата подсистема на ядрото на Linux. Техническите подробности, заедно с едноредов PoC-код (proof of concept – работещ демонстрационен експлойт) вече са в отворен достъп.

Наименованието „Fragnesia“ се отнася до конкретен дефект в управлението на паметта на ядрото на Linux.

Както обяснява изследователят Уилям Боулинг от екипа на V12 (компания в областта на киберсигурността, която използва AI агенти за откриване на уязвимости), при обединяването на мрежовите буфери вътрешната структура на ядрото skb (socket buffer) престава да отчита, че фрагментът от данни се използва съвместно с друг процес. Тази грешка отваря възможност за злоупотреба с подсистемата ESP-in-TCP – протокол за криптиране на трафика вътре в TCP-връзките. Когато TCP-сокетът преминава в определен режим, след като данните са били прехвърлени от файл чрез системното повикване splice, ядрото погрешно приема обикновените файлови страници за криптирани данни.

Атаката „Fragnesia“ е насочена към страничния кеш на VFS – област от оперативната памет, в която операционната система съхранява наскоро прочетени файлове, за да ускори повторния достъп. Подбирайки криптографски nonce (еднократни числа), атакуващият прилага побитова операция XOR с необходимите стойности директно върху кешираните страници и по този начин получава възможност да променя съдържанието на файлове, формално достъпни само за четене.

Изследователят демонстрира атаката на практика, като презаписа първите 192 байта от системния инструмент /usr/bin/su с малък злонамерен код. В доклада се отбелязва, че модификацията засяга само кеша на паметта и не се запазва на диска, поради което двоичният файл на носителя остава непокътнат. Въпреки това, когато системата се опита да изпълни кешираната версия на основния инструмент su, вместо стандартната програма се стартира кодът на атакуващия и потребителят получава Root достъп – администраторски права. След това системата остава компрометирана: всеки, който стартира su на тази машина, също ще получи права на администратор, докато кешът не бъде изчистен ръчно или машината не бъде рестартирана.

Особено тревожно е колко лесно се стартира самата атака. Изследователят публикува поредица от команди, която клонира хранилището с кода на експлойта, компилира го и го стартира – всичко това в един ред в терминала.

Уязвими са всички версии на ядрото на Linux, издадени преди 13 май (днешния ден). Ако не е възможно да се инсталира актуализация на ядрото незабавно, изследователите препоръчват като временна мярка да се деактивират засегнатите модули с командата rmmod esp4 esp6 rxrpc. Универсалният характер на „Fragnesia“ прави незабавната инсталация на пач единствената надеждна мярка за защита на Linux инфраструктурата.