Lỗ hổng bảo mật được gán mã định danh CVE-2026-46300, bắt nguồn từ một lỗi logic trong hệ thống con Linux XFRM ESP-in-TCP, cho phép kẻ tấn công cục bộ không có đặc quyền giành được quyền root bằng cách ghi các byte tùy ý vào kernel page cache của các tệp chỉ đọc.

William Bowling, trưởng bộ phận đảm bảo chất lượng của Zellic, người đã phát hiện ra lỗ hổng leo thang đặc quyền mới này, cũng đã chia sẻ bằng chứng khái niệm (PoC) khai thác lỗ hổng này, cho phép thực hiện thao tác ghi vào bộ nhớ trong kernel để làm hỏng bộ nhớ page cache của tệp nhị phân /usr/bin/su, từ đó giành được quyền truy cập shell với quyền root trên các hệ thống dễ bị tổn thương.

Bowling cho biết lỗ hổng này thuộc lớp lỗ hổng Dirty Frag, từng được công bố mới đây, ảnh hưởng đến tất cả các kernel Linux phát hành trước ngày 13/5/2026. Tương tự như Fragnasia, Dirty Frag có một công cụ khai thác PoC công khai mà kẻ tấn công cục bộ có thể sử dụng để giành quyền root trên các bản phân phối Linux chính.

Tuy nhiên, Dirty Frag hoạt động bằng cách kết hợp hai lỗ hổng kernel riêng biệt, bao gồm xfrm-ESP Page-Cache (CVE-2026-43284) và lỗ hổng RxRPC Page-Cache (CVE-2026-43500), để đạt được leo thang đặc quyền bằng cách sửa đổi các tệp hệ thống được bảo vệ trong bộ nhớ.

"Fragnesia thuộc nhóm lỗ hổng Dirty Frag. Đây là một lỗi riêng biệt trong ESP/XFRM so với Dirty Frag, vốn đã được vá lỗi riêng. Fragnesia lợi dụng một lỗi logic trong hệ thống con Linux XFRM ESP-in-TCP để ghi các byte tùy ý vào kernel page cache của các tệp chỉ đọc, mà không cần bất kỳ race condition”, Bowling cho biết.

Để bảo vệ hệ thống khỏi các cuộc tấn công, người dùng Linux được khuyến nghị nên cập nhật kernel cho môi trường của mình càng sớm càng tốt.

Việc Fragnasia tiết lộ thông tin này diễn ra trong bối cảnh các bản distro Linux vẫn đang công bố các bản vá lỗi cho Copy Fail, một lỗ hổng leo thang đặc quyền khác hiện đang bị khai thác rộng rãi .

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã bổ sung lỗ hổng Copy Fail vào danh mục các điểm yếu bị khai thác trong các cuộc tấn công vào ngày 1/5 vừa qua, đồng thời yêu cầu các cơ quan liên bang phải bảo mật hệ thống Linux của họ trong vòng hai tuần, tức là ngày 15/5.

"Loại lỗ hổng này là một phương thức tấn công thường xuyên của các tác nhân mạng độc hại và tiềm ẩn rủi ro đáng kể đối với các doanh nghiệp liên bang. Hãy áp dụng các biện pháp giảm thiểu theo hướng dẫn của nhà cung cấp, tuân theo chỉ thị BOD 22-01 hiện hành đối với các dịch vụ đám mây, hoặc ngừng sử dụng sản phẩm nếu không có biện pháp giảm thiểu”, CISA nhấn mạnh.

Trước đó vào tháng 4/2026, các bản distro Linux đã vá một lỗ hổng leo thang đặc quyền root khác (được đặt tên là Pack2TheRoot) trong PackageKit daemon, một lỗ hổng đã không được phát hiện trong suốt một thập kỷ.