Linux çekirdeğinde keşfedilen yeni bir yerel ayrıcalık yükseltme (LPE) zafiyeti, Fragnesia (CVE-2026-46300), sistem yöneticilerini alarma geçirdi. Wiz bulut güvenlik firmasının analizine göre, bu zafiyet Zellic ve V12 ekibinden William Bowling tarafından bulundu. Fragnesia, Dirty Frag ailesinin bir varyantı olarak tanımlanıyor ve son üç haftada ifşa edilen üçüncü root seviyesi Linux çekirdek hatası olarak dikkat çekiyor. 13 Mayıs'ta yayınlanan bir proof-of-concept (PoC) istismar koduyla birlikte duyurulan zafiyet, bu tarihten önceki tüm Linux çekirdeklerini etkiliyor ve ayrıcalıksız yerel kullanıcıların, salt okunur dosyaların çekirdek sayfa önbelleğine rastgele baytlar yazarak root erişimi elde etmesine olanak tanıyor.
Fragnesia'nın temelinde, çekirdeğin soket tamponlarını birleştirirken paylaşılan sayfa parçalarını nasıl takip ettiğiyle ilgili bir hata yatıyor. Belirli bir işlem sırası altında, bu takip mekanizması başarısız oluyor ve çekirdek, hangi bellek sayfalarının harici dosyalar tarafından desteklendiğini gözden kaçırıyor. Bir saldırgan, bu karışıklığı, dosya içeriklerini bir TCP soketine besleyerek ve ardından aynı sokette ESP-in-TCP şifrelemesini etkinleştirerek yapay olarak oluşturabiliyor. Çekirdek daha sonra, sıraya alınmış baytları doğrudan önbelleğe alınmış dosya sayfalarının üzerine çözüyor ve AES-GCM anahtar akışı, bellekte kontrollü üzerine yazmalar üretiyor.
Bowling'in yayınladığı PoC'de bu teknik, /usr/bin/su ikili dosyasının başlangıç baytlarını, root kabuğuna geçiş yapan kısa bir yük ile yeniden yazmak için kullanıldı. Değişiklik yalnızca çekirdeğin bellekteki ikili kopyasında yapıldığından, diskteki dosya olduğu gibi kalıyor ve müdahale, standart disk adli tıp yöntemleri için hiçbir iz bırakmıyor. Bu, zafiyeti özellikle tehlikeli kılıyor çünkü geleneksel güvenlik taramaları bu tür bir saldırıyı tespit edemeyebilir.
Sonuç ve Değerlendirme
Bowling, Fragnesia'yı Dirty Frag'ın ESP/XFRM alanındaki ayrı bir hata olarak tanımladı ve aynı çekirdek saldırı yüzeyinde bulunduğunu belirtti. Dirty Frag'ı keşfeden araştırmacı Hyunwoo Kim ise yeni zafiyetin, orijinal güvenlik açıklarını gidermek için uygulanan yamalardan birinin istenmeyen bir yan etkisi olarak ortaya çıktığını söyledi. Fragnesia'nın duyurusu, son haftalarda ifşa edilen diğer iki Linux çekirdek LPE zafiyetini takip ediyor: 29 Nisan'da Copy Fail (CVE-2026-31431) ve 7 Mayıs'ta Dirty Frag (CVE-2026-43284 ve CVE-2026-43500).
Bir aday yama, 13 Mayıs'ta netdev posta listesine gönderildi ve yayın sırasında ana çekirdek dalına henüz dahil edilmemişti. Ancak, birçok Linux dağıtımı kendi geri portlanmış yamalarını dağıtmaya başladı. Fragnesia, Dirty Frag ile aynı esp4, esp6 ve rxrpc çekirdek modüllerini kullanıyor. Bu, Dirty Frag'a karşı geçici bir savunma olarak bu modülleri devre dışı bırakan yöneticilerin, yamalı çekirdekler mevcut olana kadar Fragnesia'ya karşı da korunacağı anlamına geliyor.
Ayrıcalıksız kullanıcı ad alanlarının kısıtlanması ve şüpheli ad alanı oluşturma veya XFRM manipülasyonunun izlenmesi de önerilen geçici önlemler arasında. Sistem yöneticileri, bu zafiyete karşı korunmak için güncellemeleri takip etmeli ve geçici savunma önlemlerini uygulamalıdır. Fragnesia, Linux çekirdeğinin karmaşıklığını ve güvenlik yamalarının bazen yeni zafiyetlere yol açabileceğini bir kez daha gösteriyor.
Kaynak: infosecurity-magazine.com