Um especialista em cibersegurança revelou detalhes da versátil vulnerabilidade Fragnesia, uma ferramenta local de escalonamento de privilégios para Linux que permite a qualquer usuário sem privilégios obter acesso root completo, ou direitos de superusuário. A vulnerabilidade pertence a uma nova classe chamada Dirty Frag e explora uma falha lógica profunda no subsistema de rede do kernel do Linux. Detalhes técnicos, juntamente com um código de prova de conceito (PoC) de uma linha (uma demonstração funcional da vulnerabilidade), já estão disponíveis publicamente.
Fonte da imagem: Gabriel Heinzer / unsplash.com
O nome Fragnesia refere-se a uma falha específica no gerenciamento de memória do kernel do Linux. Como explica o pesquisador William Bowling, da equipe V12, uma empresa de cibersegurança que utiliza inteligência artificial baseada em agentes para encontrar vulnerabilidades, quando buffers de rede são mesclados, a estrutura interna skb (buffer de socket) do kernel não reconhece que um bloco de dados está sendo compartilhado com outro processo. Esse bug abre a possibilidade de explorar o subsistema ESP-in-TCP, um protocolo para criptografar o tráfego em conexões TCP. Quando um socket TCP é colocado em um modo específico após a transferência de dados de um arquivo por meio da chamada de sistema splice, o kernel trata erroneamente páginas de arquivo comuns como dados criptografados.
Ao contrário da maioria das vulnerabilidades graves do kernel, o Fragnesia não requer uma condição de corrida complexa — uma situação em que o resultado depende da ordem de execução de operações simultâneas. Em vez disso, o ataque visa o cache de páginas VFS — uma área da RAM onde o sistema operacional armazena arquivos acessados recentemente para acelerar o acesso repetido. Por meio de ataques de força bruta a nonces criptográficos (números de uso único), o atacante aplica uma operação XOR bit a bit com os valores desejados diretamente às páginas em cache, obtendo assim a capacidade de modificar o conteúdo de arquivos que são tecnicamente somente leitura.
O pesquisador demonstrou o ataque em ação sobrescrevendo os primeiros 192 bytes do utilitário de sistema /usr/bin/su com um pequeno código malicioso. O relatório observa que a modificação afeta apenas o cache de páginas e não é salva em disco.O arquivo binário na unidade permanece intacto. No entanto, quando o sistema tenta executar uma versão em cache do utilitário principal `su`, o código do atacante é executado em vez do programa padrão, e o usuário recebe um shell root — um prompt de comando com privilégios de superusuário. Depois disso, o sistema permanece comprometido: qualquer pessoa que invocar o utilitário `su` nesta máquina também obterá privilégios de administrador até que o cache seja limpo manualmente ou a máquina seja reiniciada.
A facilidade de execução é particularmente alarmante. O pesquisador publicou uma sequência de comandos que clona o repositório contendo o código de exploração, compila-o e o executa — tudo em um único prompt de terminal. Todas as versões do kernel Linux lançadas antes de 13 de maio de 2026 são vulneráveis. Se uma atualização do kernel não estiver disponível imediatamente, os pesquisadores recomendam desativar os módulos afetados com o comando `rmmod esp4 esp6 rxrpc` como medida temporária. A natureza universal do Fragnesia torna a aplicação imediata de patches — uma correção de código — a única medida de segurança confiável para uma infraestrutura Linux.