Linux 核心近期再度出現橫跨多個發行版的本機提權漏洞。這次被命名為 Fragnesia,追蹤編號為 CVE-2026-46300,屬於近期 Dirty Frag 漏洞同一類型的頁面快取污染攻擊面。根據 V12 Security 的公開 PoC 與多家資安廠商分析,攻擊者只要已經能在受影響主機上執行本機程式碼,就可能藉由 Linux 核心 XFRM ESP-in-TCP 子系統中的邏輯缺陷,對唯讀檔案的 kernel page cache 進行受控修改,進一步取得 root 權限。
這個漏洞由 William Bowling 與 V12 Security 團隊公開披露,Fragnesia 的危險性不在於遠端直接入侵,而是在攻擊者已取得低權限帳號、Web Shell、容器內執行能力、CI/CD runner 執行權限,或受限服務帳號後,可以把原本有限的立足點快速擴大為 root 權限。Microsoft 也在 Dirty Frag 相關調查中指出,這類本機提權漏洞常被用於入侵後階段,用來關閉防護工具、存取敏感憑證、竄改紀錄與橫向移動。
Fragnesia 是什麼?它和 Dirty Frag 有何不同?
CyberQ 觀察,Fragnesia 不是 Dirty Frag 的同一個漏洞重新命名,而是同一攻擊面上的另一個漏洞。Dirty Frag 主要牽涉 ESP/XFRM 與 RxRPC 相關路徑,已被分別追蹤為 CVE-2026-43284 與 CVE-2026-43500,Fragnesia 則聚焦在 Linux XFRM ESP-in-TCP 子系統,問題核心與 socket buffer 在 coalescing 過程中沒有正確保留共享 fragment 標記有關。簡單說,核心在處理網路封包與頁面片段時忘記某些 fragment 其實是共享的,導致後續處理可能把 file-backed page cache 當成可安全寫入的資料區域。
根據 Wiz 的技術分析,攻擊流程可透過使用者與網路 namespace 取得隔離環境中的 CAP_NET_ADMIN,再透過 NETLINK_XFRM 設定特製 ESP security association,最終觸發對頁面快取的受控修改。公開 PoC 展示的目標是讓 /usr/bin/su 的 page cache 被改寫,使其執行時開出 root shell,不過重點是,這種修改存在於記憶體中的 page cache,而不是直接改寫磁碟上的檔案。
這也是 Fragnesia 值得警惕的地方。傳統檔案完整性檢查若只檢查磁碟上的檔案雜湊,未必能看見 page cache 中短暫存在的污染狀態。若懷疑系統已遭利用,除了套用修補或緩解,也應考慮重新開機或清除 page cache,以迫使核心重新從磁碟載入乾淨內容。
多數主流 Linux 發行版都需檢查
從目前公告來看,Fragnesia 影響多個主流 Linux 發行版。Canonical 指出,Fragnesia 影響所有 Ubuntu releases,涉及支援 ESP 的 Linux kernel modules,Debian Security Tracker 也將多個 Debian linux 套件版本列為 vulnerable。AlmaLinux 則表示 Fragnesia 是 Dirty Frag 同一廣泛程式碼區域中的第三個 Linux kernel local-root flaw,並已針對支援版本推出修補核心。
值得注意的是,AWS 在安全公告中表示,Amazon Linux 不提供 PoC 所使用的 espintcp loadable module,因此不受此特定向量影響,但 AWS 仍會以 defense-in-depth 角度納入核心網路程式碼的 correctness patch,以降低類似問題風險。這代表管理者不能只用「Linux 都一樣」來判斷曝險,仍需依照實際發行版、kernel 版本、模組是否存在與是否啟用來評估。
Rocky Linux 社群也很快出現討論,有使用者詢問 Rocky 是否受 CVE-2026-46300 影響,回覆中提到若 GitHub PoC 準確,由於 Rocky 受 Dirty Frag 影響,也應視為需要關注,後續討論也指出,Fragnesia 需要額外修補,不能假設 Dirty Frag kernel patch 已經完全涵蓋。
為什麼這類漏洞近期連續出現?
Fragnesia 的出現並非孤立事件。過去幾週,Linux 核心已連續出現 Copy Fail、Dirty Frag 與 Fragnesia 這類和 page cache、zero-copy、網路/加密處理路徑相關的本機提權漏洞。Tenable 將 Fragnesia 歸類為 Dirty Frag 同類型攻擊面,但也明確指出,現有 Dirty Frag kernel patches 不會修補 Fragnesia,仍需要獨立修補,不過,若先前已採用 Dirty Frag 的 module blacklist 緩解,則可同時降低 Fragnesia 風險。
從攻防角度來看,這類漏洞之所以受到重視,是因為它不需要遠端直接打進系統,而是能放大任何既有入侵點的傷害。攻擊者只要先透過弱密碼 SSH、Web 應用漏洞、容器工作負載、低權限帳號或其他方式拿到本機程式執行能力,就可能利用本機提權漏洞取得 root。Microsoft 在 Dirty Frag 報告中也列出類似攻擊情境,包括 SSH 存取、Web Shell、容器逃逸進入 host 環境,以及低權限 service account 濫用。
維運疲勞
這次 Fragnesia 披露後,社群反應相當直接。BleepingComputer 引用 V12 在 X 上的貼文,將其描述為又一個 universal Linux LPE,並指出 V12 同步公開 PoC。Reddit r/cybersecurity 的討論串中,也可以看到「Again?」這類反應,顯示管理者對短時間內連續處理 Linux kernel LPE 的疲勞感,同一串討論也有人提醒,如果已經依 Dirty Frag 緩解方式封鎖 esp4、esp6 與 rxrpc,理論上已降低 Fragnesia 曝險。
這種維運疲勞並不只是情緒問題。對企業環境而言,kernel 更新通常代表需要排定重開機、維護時段、HA failover 測試與服務驗證,若是虛擬化平台、Kubernetes 節點、CI runner、共享主機或多租戶系統,修補時程與風險控管更複雜。AlmaLinux 也特別點名 multi-tenant host、container build farm、CI runner 或任何允許不受信任使用者取得 shell 的環境,都是需要優先處理的高風險場景。
修補與緩解建議
最根本的解法仍是安裝發行版提供的修補 kernel,並重新開機載入新核心。管理者應優先查閱 Ubuntu、Debian、RHEL/Rocky/AlmaLinux、SUSE、CloudLinux、Gentoo、Fedora 或雲端供應商的官方安全公告,而不是只依賴通用新聞稿判斷是否安全。AlmaLinux 已表示 patched kernels 進入 production repositories,Debian tracker 在檢索時仍列出多個 linux 套件版本 vulnerable,Ubuntu 則提供暫時緩解說明並提醒 kernel 更新後才可移除緩解設定。
若短時間內無法立即更新 kernel,可沿用 Dirty Frag 的完整緩解方向:暫時停用 ESP/XFRM 與 RxRPC 相關 kernel modules。Canonical 的 Fragnesia 公告針對 ESP 模組提供 esp4、esp6 的封鎖與卸載方式,Dirty Frag 緩解則進一步包含 rxrpc。由於 Fragnesia 與 Dirty Frag 的曝險面重疊,若企業先前尚未做 Dirty Frag 緩解,建議依照發行版公告評估是否一併封鎖 esp4、esp6、rxrpc。但這會影響 IPsec ESP、StrongSwan 類 VPN,以及 AFS/RxRPC 相關應用,因此不能在生產環境無腦套用。
建議維運團隊採取以下處置順序:先盤點主機 kernel 版本與發行版公告狀態,確認是否使用 IPsec、StrongSwan、AFS、RxRPC 或相關網路功能,若沒有使用,優先套用 module blacklist 作為暫時緩解,若有使用,則進入變更管理流程,評估改用其他通道、縮短維護時窗,或優先安排 kernel 更新與重開機。對多租戶主機、容器節點、CI/CD runner、可讓外部使用者上傳或執行程式碼的服務,應列為第一批修補對象。
偵測與稽核重點
Fragnesia 的利用痕跡不一定會反映在磁碟檔案被改寫,因此不能只依賴傳統檔案完整性工具。可優先監控異常 namespace 建立、XFRM 操作、可疑的本機提權行為、短時間內異常呼叫 su 或 setuid binary 的行為,以及低權限帳號突然取得 root shell 的事件。Wiz 也建議監控 namespace creation、XFRM manipulation 與異常 AF_ALG 使用情境。
若懷疑系統遭利用,除了保存證據與分析程序外,應將重點放在清除 page cache 狀態、重新開機、確認 kernel 已修補,並重新檢查敏感憑證、SSH key、服務帳號、排程任務、systemd units、容器映像與近期部署紀錄。因為一旦攻擊者成功取得 root,後續風險已不只是單一漏洞,而是整台主機的可信度問題。
給企業與資安團隊的建議
CyberQ 建議,Fragnesia 的重點不只是「又一個 Linux 本機提權漏洞」,而是它再次證明 Linux kernel 的 page cache、zero-copy、網路封包與加密處理路徑,正在成為研究人員與攻擊者密集關注的攻擊面。對一般單人桌機而言,它需要本機程式碼執行能力,風險相對可控,但對企業伺服器、共享主機、容器平台、CI/CD runner、NAS 應用平台、虛擬化節點與多租戶環境而言,這類漏洞會讓任何低權限入侵點快速升級成整台主機失守。
CyberQ 認為,短期策略是立即確認發行版修補狀態,能更新就更新,不能更新就按公告封鎖受影響模組,中期策略是降低不必要的本機 shell 權限、強化容器隔離、限制 unprivileged user namespaces,並提高對本機提權行為的偵測,長期策略則是把 kernel live patch、HA rolling reboot、節點汰換與維護視窗納入固定資安維運流程。Fragnesia 不會是最後一個這類漏洞,真正要修補的不只是 kernel,也包括企業對本機提權風險的低估。
