Fragnesia CVE-2026-46300: Linux Kernel XFRM ESP-in-TCP Yerel Yetki Yükseltme

CVE-2026-46300 — takma adıyla Fragnesia — 14 Mayıs 2026'da kamuoyuyla paylaşılan bir Linux kernel yerel yetki yükseltme zafiyetidir. İki haftalık süreçte Linux'u vuran üçüncü page-cache bozma LPE'sidir; Copy Fail (CVE-2026-31431) ve Dirty Frag (CVE-2026-43284 / CVE-2026-43500)'i izlemektedir.

Fragnesia; Zellic'ten William Bowling ve V12 güvenlik ekibi tarafından keşfedildi. Linux kernel'ın XFRM ESP-in-TCP alt sistemindeki bir hatayı sömürüyor — Dirty Frag'ın ana saldırı vektörlerinden farklı bir kod yolu, ancak aynı sınıf: yarış koşuluna gerek duymayan deterministik page-cache bozma ile root yetki yükseltme.

CVSS v3.1: 7.8 YÜKSEK — AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

"Zafiyet, ayrıcalıksız yerel saldırganların kernel page cache'indeki salt okunur dosya içeriklerini değiştirmesine ve deterministik bir page-cache bozma primitifi aracılığıyla root yetkisi elde etmesine olanak tanıyor." — Wiz (Google)

Fragnesia Nedir?

Fragnesia, Linux kernel'ın ESP/XFRM modülündeki — özellikle IPsec uygulamalarının kullandığı ESP-in-TCP taşıma yolundaki — bir kusurdan kaynaklanıyor. Dirty Frag gibi, korumalı olması gereken salt okunur page-cache sayfalarına yazmak için kernel'ın splice() tabanlı page-cache mekanizmasını kötüye kullanıyor. Ayrıcalıksız yerel bir saldırgan, page-cache destekli bir dosyayı (örneğin setuid binary) bozarak root yetkisine yükselebilir.

İsim, bu zafiyet ailesinin önceki üyelerinin oluşturduğu "page cache parçalanma" (fragmentation) temasını sürdürüyor.

Fragnesia ile Dirty Frag'ın Farkı

| Özellik | Dirty Frag | Fragnesia | |---------|-----------|-----------| | CVE | CVE-2026-43284 + CVE-2026-43500 | CVE-2026-46300 | | Saldırı yolu | xfrm-ESP (esp4/esp6) + RxRPC | Yalnızca XFRM ESP-in-TCP | | Keşif | Wiz (Merav Bar, Rami McCarthy) | William Bowling (Zellic) + V12 ekibi | | Açıklama tarihi | 8 Mayıs 2026 | 14 Mayıs 2026 | | Yama commit | f4c50a4034e6 + aa54b1d27fe0 | Ayrı yama | | Gerçek dünya saldırısı | Sınırlı (Microsoft Defender) | Açıklama sırasında gözlemlenmedi | | CAP_NET_ADMIN gereksinimi (container) | Evet (varsayılan Kubernetes) | Evet (varsayılan Kubernetes) |

Kritik not: Dirty Frag geçici önlemi (esp4, esp6, rxrpc kara listesi) Fragnesia'yı da hafifletiyor; her iki zafiyet de esp/xfrm alt sistemine dayanıyor.

Etkilenen Dağıtımlar

Fragnesia açıklaması sırasında yayımlanan dağıtım advisory'leri:

| Dağıtım | Durum | |---|---| | Ubuntu | Advisory yayımlandı | | Red Hat Enterprise Linux | Advisory yayımlandı | | Debian | Advisory yayımlandı | | Amazon Linux | Advisory yayımlandı | | SUSE | Advisory yayımlandı | | AlmaLinux | Advisory yayımlandı | | CloudLinux | Advisory yayımlandı | | Gentoo | Advisory yayımlandı |

İstismar Senaryosu

Bu sınıftaki önceki zafiyetler gibi Fragnesia da yetki yükseltme primitifine erişmeden önce yerel kod çalıştırma gerektiriyor. Tipik ilk erişim vektörleri:

• Compromised SSH kimlik bilgileri veya anahtarları
• İnternet yönlü uygulamadaki web shell
• Host ortamına container escape
• Düşük ayrıcalıklı servis hesabı kötüye kullanımı
• CI/CD job runner (güvenilmez pull request'ler, kullanıcı kodu)

Yerel çalıştırma elde edildikten sonra Fragnesia'nın deterministik sömürü yolu — yarış koşulu olmadan — güvenilir tek çalıştırmalı root yükseltme sağlıyor.

Hızlı Envanter

# xfrm/esp modüllerinin yüklü olup olmadığını kontrol et
lsmod | grep -E "^(esp4|esp6|xfrm)" || true

# Aktif IPsec politikalarını kontrol et
ip xfrm state list
ip xfrm policy list

# NET_ADMIN kapasitesine sahip Kubernetes pod'larını bul
kubectl get pods -A -o jsonpath='{range .items[*]}{.metadata.namespace}{" "}{.metadata.name}{" "}{.spec.containers[*].securityContext.capabilities.add}{"\n"}{end}' | grep -i net_admin || true

Geçici Önlem

Dirty Frag geçici önlemini zaten uyguladıysanız Fragnesia da hafifletilmiştir — modül kara listesi için ek işlem gerekmez:

# Dirty Frag kara listesinin Fragnesia'yı da kapsadığını doğrula
cat /etc/modprobe.d/disable-dirtyfrag.conf
# İçerik: install esp4 /bin/false VE install esp6 /bin/false olmalı

Henüz herhangi bir geçici önlem uygulamadıysanız:

# esp4 ve esp6'yı engelle (hem Dirty Frag hem Fragnesia kapsamında)
cat > /etc/modprobe.d/disable-esp-xfrm.conf << 'EOF'
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
EOF

rmmod esp6 2>/dev/null || true
rmmod esp4 2>/dev/null || true

Uygulamadan önce: Sistemlerinizin IPsec VPN tüneli kullanıp kullanmadığını doğrulayın (ip xfrm state list). Geçici önlem aktif IPsec oturumlarını kesecektir.

Microsoft Defender Kapsamı

Mevcut Dirty Frag imzaları Fragnesia exploit artefaktlarını da kapsıyor:

• Trojan:Linux/DirtyFrag.Z!MTB
• Trojan:Linux/DirtyFrag.DA!MTB

Dirty Frag imzaları zaten etkinse ek imza dağıtımı gerekmiyor.

Patch Stratejisi

Dağıtımınız CVE-2026-46300'ü açıkça ele alan bir kernel güncellemesi yayımladığında:

1. Advisory'nin CVE-2026-43284 ve CVE-2026-43500'e ek olarak CVE-2026-46300'ü de kapsadığını doğrulayın
2. Kernel güncellemesini üretim node'larına çıkmadan önce test edin
3. Kubernetes node'ları ve CI runner'ları için reboot penceresini planlayın
4. Her host'ta yamalama onaylandıktan sonra modül kara listesini kaldırın
5. Kernel güncellemesinin ardından IPsec ve XFRM bağımlı workload'ları doğrulayın

Üç CVE Deseni

Copy Fail, Dirty Frag ve Fragnesia — on beş gün içinde üç farklı araştırma ekibi tarafından bağımsız olarak keşfedilen, aynı sömürü sınıfından (splice() tabanlı page-cache yazma primitifleri) üç zafiyet. Bu desen şunu gösteriyor: kernel'ın ağ ve kripto alt sistemlerindeki bu kusur sınıfı, birden fazla aktör tarafından aynı anda aktif biçimde araştırılıyor.

Savunma tarafı için bu desenin anlamı:

• Tek bir geçici önlem üç zafiyetin tamamına karşı koruma sağlamıyor
• algif_aead kara listesi (Copy Fail) Dirty Frag veya Fragnesia'ya karşı koruma sağlamıyor
• esp4/esp6 kara listesi (Dirty Frag/Fragnesia) Copy Fail'e karşı koruma sağlamıyor
• Her biri ayrı kernel yaması gerektiriyor
• Güvenilmez yerel çalıştırma ortamları (CI/CD, container, notebook) en yüksek risk sınıfı olmayı sürdürüyor

SSS

Fragnesia ile Dirty Frag aynı şey mi?

Hayır. Fragnesia (CVE-2026-46300), XFRM alt sistemi içindeki farklı bir kod yolundaki bağımsız bir zafiyet. Aynı sömürü sınıfını (page-cache bozma) ve benzer CVSS puanını paylaşıyor ancak kendi yamasını gerektiriyor. Farklı bir araştırma ekibi tarafından bağımsız olarak keşfedildi.

Dirty Frag için esp4/esp6 engellemek Fragnesia'yı da engelliyor mu?

Evet. Dirty Frag modül kara listesini (install esp4 /bin/false ve install esp6 /bin/false) zaten uyguladıysanız, Fragnesia da hafifletilmiştir; her iki zafiyet de esp/xfrm saldırı yüzeyini kullanıyor.

Fragnesia'nın gerçek dünya saldırısı gözlemlendi mi?

Açıklama sırasında (14 Mayıs 2026) Fragnesia'ya özgü gerçek dünya saldırısı gözlemlenmemişti. Microsoft Defender, Dirty Frag veya Copy Fail tekniklerine uygun sınırlı saldırı tespiti yapmıştı; ancak Fragnesia'ya özgü değildi.

Dört CVE için ayrı ayrı yama uygulamam gerekiyor mu?

Evet. CVE-2026-31431 (Copy Fail), CVE-2026-43284, CVE-2026-43500 (Dirty Frag) ve CVE-2026-46300 (Fragnesia) dört ayrı zafiyet olup dört ayrı kernel yaması gerektiriyor. Dağıtım advisory'nizin hangi CVE'leri kapsadığını doğrulayın.

Kontrol Listesi

• [ ] Kernel sürümü CVE-2026-46300 için dağıtım advisory'siyle karşılaştırıldı mı?
• [ ] esp4 ve esp6 modül kara listesi doğrulandı mı (hem Dirty Frag hem Fragnesia kapsıyor)?
• [ ] Kara liste uygulanmadan veya kaldırılmadan önce IPsec/VPN workload'ları envantere alındı mı?
• [ ] Kubernetes pod'larındaki NET_ADMIN kapasitesi denetlendi mi?
• [ ] CVE-2026-46300 için vendor kernel patch takibi açıldı mı?
• [ ] Patch'in CVE-2026-46300'ü Dirty Frag CVE'lerine ek olarak kapsadığı doğrulandı mı?
• [ ] Başarılı kernel patch dağıtımının ardından modül kara listesi kaldırıldı mı?