Beberapa waktu lalu, detail tentang varian baru dari kerentanan Local Privilege Escalation (LPE) Linux muncul. Celah ini dijuluki Fragnesia Linux Kernel LPE Vulnerability, dan memungkinkan penyerang lokal untuk mendapatkan akses root. Ini merupakan bug ketiga yang teridentifikasi di kernel Linux dalam rentang waktu dua minggu.
Kerentanan ini terdaftar dengan kode CVE-2026-46300 dan memiliki skor CVSS 7.8. William Bowling dari tim keamanan V12 menemukan Fragnesia, yang berakar pada subsistem XFRM ESP-in-TCP di kernel Linux.
Apa itu Fragnesia?
Fragnesia memungkinkan penyerang lokal tanpa hak istimewa untuk memodifikasi konten file read-only di kernel page cache. Ini membuka jalan untuk mencapai hak istimewa root melalui primitif korupsi page-cache yang deterministik. Wiz, perusahaan yang dimiliki Google, juga mengonfirmasi hal ini.
V12 menjelaskan bahwa ini adalah bug terpisah dari Dirty Frag, meskipun berada di permukaan yang sama, yaitu ESP/XFRM. Fragnesia menyalahgunakan bug logika di subsistem XFRM ESP-in-TCP Linux untuk mencapai penulisan byte arbitrer ke kernel page cache dari file read-only. Yang menarik, eksploitasi ini tidak memerlukan kondisi balapan (race condition) sama sekali.
Kerentanan ini mirip dengan Copy Fail 2 (dikenal juga sebagai CVE-2026-46252). Keduanya langsung memberikan akses root pada semua distribusi besar dengan mencapai primitif penulisan memori di kernel, lalu merusak memori page cache dari binary /usr/bin/su. Tim V12 bahkan sudah merilis bukti konsep (Proof-of-Concept atau PoC) untuk eksploitasi Fragnesia.
Berikut adalah ringkasan detail teknis mengenai Fragnesia:
| Detail Teknis | Fragnesia (CVE-2026-46300) |
|---|---|
| Jenis Kerentanan | Local Privilege Escalation (LPE) |
| Komponen Terdampak | Linux kernel's XFRM ESP-in-TCP subsystem |
| Penemu | William Bowling (V12 security team) |
| Skor CVSS | 7.8 |
| Cara Kerja Utama | Modifikasi konten file read-only di kernel page cache, korupsi page-cache /usr/bin/su |
| Prasyarat | Tidak memerlukan kondisi balapan (race condition) |
| Hak Akses Penyerang | Penyerang lokal tanpa hak istimewa (unprivileged local attacker) |
| Mirip dengan | Dirty Frag, Copy Fail 2 (CVE-2026-46252) |
| Ketersediaan Exploit | Proof-of-Concept (PoC) telah dirilis |
Langkah Mitigasi yang Perlu Diambil
Beberapa distribusi Linux telah merilis advisori terkait kerentanan ini. Microsoft mendesak pengguna dan organisasi untuk segera menerapkan patch dengan menjalankan tools update. Jika patching belum memungkinkan, Anda dapat mempertimbangkan untuk menerapkan mitigasi yang sama dengan Dirty Frag.
Berikut adalah strategi mitigasi yang direkomendasikan:
| Aksi Mitigasi | Deskripsi |
|---|---|
| Penerapan Patch | Segera perbarui kernel Linux Anda ke versi yang telah diperbaiki. |
| Mitigasi Dirty Frag | Nonaktifkan esp4, esp6, dan fungsionalitas xfrm/IPsec terkait. |
| Pembatasan Akses | Batasi akses shell lokal yang tidak perlu untuk pengguna. |
| Pengerasan Kontainer | Perkuat beban kerja dalam kontainer untuk mengurangi permukaan serangan. |
| Pemantauan | Tingkatkan pemantauan untuk aktivitas elevasi hak istimewa yang tidak normal. |
| AppArmor (Parsial) | Restriksi AppArmor pada user namespaces yang tidak memiliki hak istimewa dapat berfungsi sebagai mitigasi parsial, tetapi mungkin memerlukan bypass tambahan. |
CloudLinux menyatakan bahwa pelanggan yang sudah menerapkan mitigasi Dirty Frag tidak perlu tindakan lebih lanjut sampai kernel yang diperbarui dirilis. Red Hat sedang melakukan penilaian untuk mengonfirmasi apakah mitigasi yang ada juga berlaku untuk CVE-2026-46300. Penting untuk diingat, tidak seperti Dirty Frag, Fragnesia tidak memerlukan hak istimewa tingkat host.
Meskipun belum ada eksploitasi aktif di dunia nyata yang teramati saat ini, langkah proaktif sangat penting.
Konteks Ancaman LPE yang Lebih Luas
Pengembangan ini muncul di tengah laporan bahwa seorang aktor ancaman bernama "berz0k" mengiklankan eksploitasi zero-day LPE Linux di forum kejahatan siber seharga $170.000. Eksploitasi yang diklaim berz0k berfungsi pada berbagai distribusi Linux utama. ThreatMon melaporkan bahwa aktor ancaman tersebut mengklaim kerentanan ini berbasis TOCTOU (Time-of-Check Time-of-Use), mampu melakukan elevasi hak istimewa lokal yang stabil tanpa menyebabkan crash sistem, dan memanfaatkan payload objek bersama (.so) yang ditempatkan di direktori /tmp.
Ini menunjukkan bahwa kerentanan LPE di Linux masih menjadi target menarik bagi para pelaku kejahatan siber, menekankan pentingnya kewaspadaan dan pembaruan sistem yang berkelanjutan.
Referensi
https://thehackernews.com/2026/05/new-fragnesia-linux-kernel-lpe-grants.html?m=1