ここ数週間、Linuxの世界は新たな脆弱性によって揺さぶられており、多くの管理者にとって、これは一連の重大なカーネルの欠陥の最後の引き金となっている。 Fragnesia、ローカル権限昇格エクスプロイト これは既知の失敗事例の仲間入りとなる。 コピー失敗 y ダーティフラグそして、これにより、権限のないユーザーでも、脆弱なシステム上で単一のコマンドを実行するだけでルートアクセス権を取得できてしまう。
Copy FailやDirty Fragに続き、Fragnesiaはまさにパッチ疲れの真っ只中に登場する。緊急アップデート、連鎖的な再起動、そして緊急対策が次々と発生する中で、Fragnesiaはまさにパッチ疲れの真っ只中に登場する。しかし、これを無視する選択肢はない。 この脆弱性は、複数のLinuxディストリビューションとカーネルバージョンに影響します。既に完全に機能する公開された概念実証が存在します。この記事では、Fragnesiaとは何か、攻撃の仕組み、影響を受けるディストリビューション、利用可能なパッチと対策、そしてシステムが保護されているかどうかを確認する方法について解説します。
フラグネシアとは何ですか?また、ダーティフラグやコピー失敗とどのような関係がありますか?
フラグネシアは 新たなローカル権限昇格(LPE)エクスプロイト Linuxカーネルに存在するこの脆弱性は、Copy Fail(CVE-2026-31431)やDirty Frag(Copy Fail 2、CVE-2026-43284とも呼ばれる)と同じ脆弱性群に属します。これらの脆弱性と共通する基本的な考え方は、カーネルのネットワークスタックとメモリ管理における論理的な欠陥を悪用して、理論的には読み取り専用のファイルを変更し、最終的にはroot権限でコードを実行できるメモリ書き込みプリミティブを取得するというものです。
この判決は FragnesiaはCVE-2026-46300として追跡されている。CVSSスコアは7,8。この脆弱性は、V12セキュリティチームのウィリアム・ボーリングによって発見された。その後まもなく、サム・ジェームズがOSSセキュリティメーリングリストでこの問題を発表し、これはDirty Fragの単純な再分析ではなく、カーネルの同じ機能面における別のバグであることを明らかにした。
実際には、フラグネシアは わずか2週間で3度目の同種の重大な故障Copy Fail、Dirty Frag、そしてFragnesia。これら3つはすべてカーネルのデータ処理の問題を悪用して、次のような重要なファイルのページキャッシュを破損します。 /usr/bin/suしかし、Fragnesiaは別の方法、つまりXFRMのESP-in-TCPサブシステムを通してこれを実現する。
技術的な詳細:XFRM ESP-in-TCPサブシステムと論理障害
フラグネシアの核は Linux XFRM ESP-in-TCPサブシステムにおける論理障害具体的には、ULP(上位層プロトコル)ルートのespintcpと呼ばれる部分です。XFRMは、とりわけIPsecトラフィックの処理を担当するカーネルフレームワークであり、ESP(Encapsulating Security Payload)は、CAN BCMネットワークプロトコルの脆弱性で発生したように、暗号化(例えばAES-GCM)によって機密性と認証性を提供するプロトコルです。
この攻撃は、非常に特殊なカーネルの状況に基づいています。 TCPソケットがESP-in-TCPモードに切り替わるとき ファイルページが次のような呼び出しによって受信キューに追加された後 splice(2) o sendfile(2)カーネルは、このデータを単なるファイルページとして扱うのではなく、ESP暗号文として解釈し、「復号化」を適用することで、キャッシュページをその場で変更します。
このエラーの結果、カーネルはAES-GCMキーストリームを注入します。 読み取り専用ファイルに対応するキャッシュページこれにより、ページキャッシュへの任意のバイト書き込みが可能になります。権限のないユーザーでも、IV(nonce)やその他のパラメータを制御することで、これらの書き込みを正確に制御できます。結果として、ファイルシステムがファイルを不変または読み取り専用としてマークしている場合でも、読み取り可能なファイル内のバイト数を制御して変更できる、決定論的な書き込みプリミティブが実現します。
公開された概念実証は、 バイナリを変更する /usr/bin/su ページキャッシュ内これは、そのバイナリのメモリコピーに192バイト(位置独立)のELFスタブを挿入します。それ以降、次に実行されると、 suこのスタブはroot権限で実行されるため、条件分岐やその他の追加的な工夫を必要とせずに、即座にルート権限を取得できます。
一時的な緩和策:再起動できない場合の自己防衛策
推奨されているが パッチ適用済みのカーネルをインストールし、できるだけ早く再起動してください。すぐに再起動できないユーザー向けに、効果的な一時的な対策がいくつか提案されています。朗報として、FragnesiaはDirty Fragと同じ基本モジュール(esp4、esp6、およびオプションでrxrpc)を使用しているため、Dirty Frag向けに提案された対策はFragnesiaにも有効です。
テクニックはで構成されています 脆弱なモジュールの読み込みをブロックする 設定することで modprobe そして、既にロードされている場合は、メモリからアンロードします。これは、ルールを記述することによって行われます。 /etc/modprobe.d/ これにより、それらのモジュールの読み込みが無害なコマンド(例: /bin/falseそして、呼び出す rmmod それらについて、もしエラーが存在しない場合は黙って無視する。
CloudLinuxのようなディストリビューションでは、Dirty Frag(Fragnesiaでも同様に機能する)の提案されたコマンドはファイルを生成します。 dirtyfrag.conf のルール esp4, esp6 y rxrpcまた、アクティブなモジュールをアンロードしようとします。Dirty Frag に対して既にこの緩和策を適用している場合は、 Fragenesisに関しては、他に何もする必要はありません。 修正されたカーネルをインストールするまでは、攻撃対象領域も無力化されるため、注意が必要です。
互換性は考慮すべき重要な要素です。 esp4とesp6はIPsec用のカーネル変換ですこれらを無効にすると、カーネルデータパスに依存するIPsecトンネル(strongSwanやLibreswanなど)が壊れます。重要なIPsecトラフィックを終端またはルーティングするホストでは、この緩和策を使用しないことをお勧めします。 rxrpc これはAF_RXRPCトランスポートであり、ほぼAFSクライアントのみで使用され、Webサーバーやその他の汎用的なシナリオではほとんど使用されません。
緩和策を適用した後、ページキャッシュを復元する
もう一つ見落とされがちな点は、エクスプロイトが作動するとメモリに何かが残る可能性があるということだ。 ページキャッシュ内の正規バイナリの改変コピー最も典型的な例は /usr/bin/suしかし、攻撃者が標的を変更した場合、他の特権バイナリにも影響が及ぶ可能性がある。
そのため、一部の勧告では、モジュールブラックリスト緩和策を適用した後、次の手順に進むことを推奨しています。 システムのページキャッシュをクリアする ディスクからクリーンな再読み込みを強制します。これは、次の場所に書き込むことで実現できます。 /proc/sys/vm/drop_caches カーネルにページキャッシュとdentries/inodeを解放するように指示する値です。この操作ではクリーンページのみが削除されるため、本番システムでも安全ですが、バイナリとデータが再度読み込まれる際に一時的にディスクI/Oが増加する可能性があります。
アイデアは単純です。緩和策の前にFragnesiaのインスタンスが既に実行されていた場合、 破損したページは破棄され、変更されていないディスク上のバージョンが再び使用されます。モジュールブラックリストと組み合わせることで、この手順は、キャッシュに残存する可能性のある変更が悪用されたり、システムに異常な動作を引き起こしたりするリスクを低減します。
パッチの適用状況とサプライヤーの推奨事項
Linuxエコシステムの主要なプレーヤーのほとんどは、Fragnesiaの発見に迅速に対応しました。AlmaLinuxやCloudLinuxのようなディストリビューションは パッチ適用済みのカーネルを公開済み、または最終調整中Red Hatは、過去の脆弱性に対する既存の対策がCVE-2026-46300にもどの程度適用されるかを評価中であることを明らかにしました。
GoogleやMicrosoft関連企業を含む複数のセキュリティベンダーが、次のような分析を発表している。 この脆弱性により、権限のないローカル攻撃者がページキャッシュ内の読み取り専用ファイルの内容を改変することが可能になります。 そして、決定論的なメモリ破損によってルート権限に昇格します。例えば、Wiz氏は、AppArmorや非特権ユーザーネームスペースへの制限によって、一部の環境ではバグを悪用するために追加の手法が必要となるため、影響を部分的に軽減できると指摘しています。
マイクロソフトは、次のように指摘している。 彼らの声明時点では、野生での積極的な搾取は確認されなかった。しかしながら、パッチが利用可能になり次第、通常のアップデートツールを使用して適用することをユーザーに強く推奨しています。即時パッチ適用が不可能な場合は、Dirty Fragに対して提案されたのと同じ対策、すなわちesp4、esp6、および重要でないIPsec/XFRM関連機能の無効化、対話型ローカルアクセスの強化、および異常な権限昇格活動の監視強化を適用することを推奨しています。
脅威の状況:マーケットプレイスの悪用とパッチ適用疲れ
フラグネシアの発見は、次のような状況下で起こった。 Linuxにおけるローカルエスカレーションの脆弱性を悪用する行為は、闇市場で価値を高めている。最近の報告によると、「berz0k」という偽名を使う攻撃者が、Linuxのゼロデイローカル権限昇格脆弱性を170.000万ドルで提供しており、複数のディストリビューションで動作するとされている。ThreatMonによると、販売者はこの脆弱性がTOCTOU(Time-of-Check Time-of-Use)タイプであり、クラッシュを引き起こすことなく安定した権限昇格が可能で、共有ライブラリの形式のペイロードを使用すると主張している。.so) に展開されました /tmp.
これらすべてが、 飽和と疲労 多くのシステム管理者は、「またDirty Fragと同じ種類の脆弱性か」「こんなのがあと8つも見つかったらもう辞める」などと、半分冗談、半分本気で不満を漏らしている。実際、Copy Fail、Dirty Frag、Fragnesiaといった脆弱性が相次いで発見されたことで、システムチームはカーネルのアップデート戦略を見直さざるを得なくなっている。特に、頻繁な再起動が大きなコストとなる環境ではなおさらだ。
このような状況において、KernelCareや同様のメカニズムのようなライブパッチソリューションが注目を集めています。 サービスを中断することなく重要な修正を適用する代替手段一方、ディストリビューション側は、問題の発見から、上流での修正リリース、そしてパッチ適用済みのパッケージが安定版リポジトリで利用可能になるまでの時間を可能な限り短縮するよう圧力を受けている。
最終的に、Fragenesisは、XFRM ESP-in-TCPのような特殊なサブシステム内の小さなロジックが、どのように ページキャッシュ機構や特権バイナリと組み合わせると、壊滅的な結果を招く。セキュリティアラート、メーリングリスト、配信ブログ、そしてMattermostやX(旧Twitter)のようなコミュニケーションチャネルを常に把握しておくことは、迅速に対応し、情報漏洩のリスクを最小限に抑える上で重要です。
Fragnesia がもたらす脅威は、単一のコマンドでルートアクセスを付与できる能力だけでなく、現代の Linux 環境がどの程度依存しているかを示す点にもあります。 カーネルコードからアップデートツール、強化ポリシーに至るまで広がる複雑な信頼の連鎖保護を実現するには、公式パッチ、十分に理解されている緩和策、適切な場合のライブパッチソリューション、そして明確なローカルアクセス制御と監視ポリシーを組み合わせることで、このような障害がインフラ全体の単一障害点にならないようにする必要があります。
