Microsofts trusseletterretning fortalte SecurityWeek at Fragnesia (CVE-2026-46300) er tredje hull i samme klasse på kort tid. Copy Fail er allerede aktivt utnyttet, og Microsoft Defender så 8. mai begrenset aktivitet som indikerer at også Dirty Frag kan ha blitt brukt mot reelle mål. Fragnesia føyer seg inn i samme mønster: lokal angriper, write-primitive i kjernen, korrupsjon av page cache.
Mekanismen er den samme som Dirty Frag. Angriperen utnytter XFRM ESP-in-TCP-subsystemet til å oppnå en minneskriving i kjernen, korrumperer page-cache-minnet til /usr/bin/su, og starter et shell med root-rettigheter. Eksploiten er ikke låst til su. «It can modify any file readable by the user, including /etc/passwd», skriver Microsoft.
«Similar to Dirty Frag, Fragnesia exploits a vulnerability in the XFRM ESP-in-TCP subsystem to achieve a memory write primitive in the kernel.» — Microsoft Threat Intelligence
Flertallet av Linux-distroene er rammet og ruller ut patcher nå. PoC er offentlig. Det er ingen bekreftede angrep i det fri ennå, men Copy Fail-presedensen viser at vinduet mellom PoC og våpenbruk er kort.
Hva bør du gjøre?
- Sjekk kjerneversjonen umiddelbart på alle Linux-servere du eier eller drifter.
uname -rog match mot distroens sikkerhetsbulletin. - Patch nå hvis du har shell-tilgang for andre brukere på maskinen (delt hosting, multi-tenant, lab-miljøer). Single-user VPS har lavere prioritet men bør likevel patches.
- Sjekk om du kjører Copy Fail-patchen. Hvis du henger etter på den, har du allerede et hull som blir brukt.
- Vurder XFRM-bruk. Hvis du ikke bruker IPsec/ESP, kan du blokkere lasting av XFRM-modulen via
/etc/modprobe.d/.