Linuxカーネルに新たな脆弱性「Fragnesia」 ローカル権限昇格が可能：ゼロデイ脆弱性「Dirty Frag」の亜種

Linuxカーネルに権限昇格が可能になる脆弱性「Fragnesia」が見つかった。直近話題になったゼロデイ脆弱性「Dirty Frag」の亜種とみられる。公開済みの実証コードでは/usr/bin/suのページキャッシュを改変してroot権限を奪取することが分かっている。

[＠IT]

　「Linuxカーネル」に一般権限の利用者が管理者権限を取得可能となる深刻な脆弱（ぜいじゃく）性「Fragnesia」が見つかった。

　これは「Linux」のXFRM ESP-in-TCP技術に存在する論理欠陥で、競合状態を利用せず任意のデータ改変を成立させる点が特徴となる。実証コードも公開済みで、未修正環境では悪用の危険性が高まっている。

Dirty Fragの亜種「Fragnesia」登場　

　Fragnesiaは「Dirty Frag」と呼ばれる脆弱性群に属し、過去に広く注目を集めた「Dirty Pipe」（CVE-2022-0847）と同系統のページキャッシュ改変問題として分類される。ただし、Dirty Pipeとは異なる欠陥であり、LinuxカーネルのESP-in-TCPサブシステム内に存在する。

　問題の根本には、ソケットバッファー統合処理時に共有フラグメント情報を適切に扱えない不具合がある。カーネルは本来変更不能なファイルページを暗号化通信データとして誤認し、復号処理を適用してしまう。この結果、AES-GCM処理で生成されたキーストリームの1バイトが、読み取り専用ファイルのページキャッシュに直接XOR演算される。

　攻撃者はIVとnonceを細かく調整し、任意値となるキーストリームを生成できる。1回の処理で変更可能なのは1バイトのみだが、任意バイト改変を積み重ねることでペイロードを書き込める。PoC（概念実証）では/usr/bin/suの先頭192バイトを小型ELFスタブに差し替え、実行時にsetresuid（0,0,0）、setresgid（0,0,0）を呼び出した後、/bin/shを起動する仕組みが採用されている。

　特徴的なのは、ファイル本体が変更されない点にある。改変対象はカーネル内ページキャッシュのみで、ディスクの/usr/bin/suは元の状態を維持する。単純な整合性確認では異常発見が難しい可能性がある。

　攻撃手順において、まず「unshare（CLONE_NEWUSER | CLONE_NEWNET）」を利用し、ユーザー名前空間とネットワーク名前空間を生成する。攻撃用名前空間内ではCAP_NET_ADMIN権限を取得できるため、XFRMのESP Security Associationを設定可能となる。PoCではAES-128-GCMを利用したESP-in-TCP通信設定が投入される。

　次に、AES-GCMキーストリームとnonce値の対応表を作成する。攻撃コードは256種類のキーストリーム値に対応するnonceを探索し、テーブル化して再利用する。これにより、任意バイト値への変更が高速化される。

　改変処理において、対象ファイルをspliceでTCPストリームに流し込み、その後でTCP_ULP espintcpモードを有効化する。そうすると、受信キューに残っていたファイルページがESP暗号文として扱われ、復号処理がページキャッシュに直接作用する。攻撃コードはこの動作を1バイト単位で繰り返し、必要なペイロード全体を書き込む。

　影響範囲としては、Dirty Fragの影響を受ける全Linuxカーネルが対象となり、2026年5月13日（米国時間）以前の未修正版カーネルは脆弱な状態にある。報告時点で修正パッチは公開済みだが、多数の環境で適用前となる可能性がある。

　PoCは「GitHub」で一般公開されており、悪用をする上での障壁は低い状態だ。「Ubuntu」環境では「AppArmor」の設定変更が必要となる場合があるが、条件を満たす環境ではrootシェル取得が可能とみられる。

　管理者向けの暫定対策としては、esp4、esp6、rxrpcモジュールの無効化が提示されている。「modprobe」設定で読み込みを拒否する構成も推奨される。加えて、攻撃後はページキャッシュに改変済みコードが残存するため、「drop_caches」の実行または再起動によるキャッシュ消去が必要となる。