Una vulnerabilità critica nel kernel Linux consente agli attaccanti di ottenere accesso root su qualsiasi sistema. Le distribuzioni stanno già distribuendo patch, ma milioni di computer rimangono esposti.

Fragnesia: la nuova falla nel kernel Linux che regala i privilegi di root

Un attaccante con accesso locale a un computer Linux può trasformarsi in amministratore di sistema in pochi secondi. Non serve una sofisticata catena di exploit: basta sfruttare un errore di logica nel sottosistema XFRM ESP-in-TCP del kernel. La vulnerabilità, scoperta da William Bowling di Zellic e tracciata come CVE-2026-46300, è stata battezzata Fragnesia e rappresenta una delle minacce più serie emerse negli ultimi mesi per il sistema operativo open source più diffuso nei server aziendali e nei dispositivi embedded.

Chi ha scoperto il problema

William Bowling, responsabile dell'assurance presso Zellic, ha identificato questa falla e ha anche pubblicato un proof-of-concept (PoC) che dimostra come sfruttarla. Zellic è una società specializzata in auditing di sicurezza per software critico e blockchain. Bowling ha classificato Fragnesia come membro della classe di vulnerabilità Dirty Frag, una famiglia di falle che affligge il kernel Linux da anni e che sfrutta difetti nella gestione della memoria cache.

Cosa è successo

Fragnesia sfrutta un bug logico nel sottosistema XFRM ESP-in-TCP del kernel Linux per scrivere byte arbitrari nella page cache del kernel di file di sola lettura. A differenza di altre vulnerabilità simili, non richiede race condition o finestre temporali critiche: è un difetto deterministico che funziona in modo affidabile.

Secondo Bowling, l'exploit raggiunge una primitiva di scrittura in memoria nel kernel, che viene poi utilizzata per corrompere la page cache del binario /usr/bin/su. Modificando questo file in memoria, un attaccante può ottenere una shell con privilegi di root senza dover passare per l'autenticazione.

La vulnerabilità colpisce tutti i kernel Linux rilasciati prima del 13 maggio 2026. Sebbene Fragnesia sia una falla separata rispetto a Dirty Frag (che combina due CVE distinte: CVE-2026-43284 e CVE-2026-43500), entrambe sfruttano la stessa superficie di attacco nel sottosistema XFRM e condividono la medesima mitigazione.

Le principali distribuzioni Linux — Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed e Fedora — stanno distribuendo patch per correggere il problema. Tuttavia, il fatto che sia disponibile un PoC pubblico significa che gli attaccatori dispongono già degli strumenti per sfruttare sistemi non aggiornati.

Perché è importante

Una vulnerabilità di privilege escalation locale è critica perché trasforma un utente ordinario in amministratore di sistema. In ambienti aziendali, questo significa accesso completo a dati sensibili, possibilità di installare malware persistente, rubare credenziali e muoversi lateralmente verso altri sistemi della rete.

A differenza di vulnerabilità remote che richiedono sofisticate catene di exploit, Fragnesia può essere sfruttata da chiunque abbia già un accesso minimale al sistema: un dipendente scontento, un container compromesso, un account di servizio con privilegi limitati. La semplicità di esecuzione e l'alta affidabilità la rendono particolarmente pericolosa.

Questo non è un caso isolato. Negli ultimi anni, il kernel Linux ha subito una serie di vulnerabilità simili: Dirty Pipe (CVE-2022-0847), Copy Fail e ora Dirty Frag e Fragnesia. Tutte sfruttano difetti nella gestione della page cache e della memoria. Il fatto che continuino a emergere suggerisce che questa area del kernel richiede un'attenzione maggiore da parte dei manutentori.

Inoltre, la tempistica è critica: il PoC è stato reso pubblico il 7 maggio 2026 dopo che un terzo indipendente ha violato l'embargo sulla divulgazione. Questo significa che gli attaccatori hanno avuto accesso al codice di exploit prima che molti amministratori potessero applicare le patch.

Cosa aspettarsi

Nei prossimi giorni, gli amministratori di sistema dovranno prioritizzare l'aggiornamento del kernel su tutti i sistemi Linux critici. Le distribuzioni continueranno a rilasciare patch per versioni stabili e legacy. È probabile che CISA (l'agenzia di cybersecurity americana) emetterà un avviso formale, come ha fatto per altre vulnerabilità kernel critiche.

Dal lato della ricerca, è lecito attendersi ulteriori analisi sulla classe Dirty Frag nel suo complesso. I ricercatori probabilmente cercheranno altre varianti non ancora scoperte nel sottosistema XFRM e in componenti correlate della gestione della memoria.

Per gli utenti finali di Linux desktop, il rischio è minore: Fragnesia richiede accesso locale, quindi riguarda principalmente server, ambienti cloud e sistemi multi-utente. Tuttavia, chiunque esegua container o macchine virtuali condivise dovrebbe considerare l'aggiornamento una priorità.

Il vero indicatore da osservare sarà la velocità di adozione delle patch e il numero di exploit in-the-wild. Se gli attaccatori inizieranno a sfruttare Fragnesia su larga scala, vedremo un aumento dei compromessi di server non aggiornati nelle prossime settimane.

📰 Fonti

  1. BleepingComputerNew Fragnesia Linux flaw lets attackers gain root privileges
  2. bleepingcomputer.comNew Fragnesia Linux flaw lets attackers gain root privileges
  3. infosecurity-magazine.comNew Ubuntu Flaw Enables Local Attackers to Gain Root Access
  4. heise.deLinux vulnerability: Attackers gain root privileges
  5. techbooky.comNew Linux Zero-Day Flaw 'Dirty Frag' With Root Access To All Major Distributions
  6. linuxinsider.comDirty Frag Linux Vulnerability Raises New Root Access Risks