Linux カーネルの脆弱性 Fragnesia CVE-N/A:root 権限奪取と PoC の公開

Fragnesia Linux Vulnerability Let Attackers Gain Root Privileges – PoC Released

2026/05/13 CyberSecurityNews — 新たに公開された Linux Kernel 脆弱性 Fragnesia により、ローカルの非特権ユーザーであっても、競合状態を必要とせずに root 権限へ昇格可能となることが判明した。その特性から、近年確認されたローカル権限昇格エクスプロイトの中でも、特に信頼性の高いものとみられている。 この脆弱性は、V12 Security チームの William Bowling により発見されたものであり、Linux セキュリティの前提を静かに変化させる、危険な Kernel バグ群の一つである。 

Fragnesia は Dirty Frag 脆弱性クラスに属し、著名な Dirty Pipe や Copy Fail の近縁にあたるが、Linux の XFRM ESP-in-TCP サブシステムに存在する、別のロジック欠陥を標的としている。具体的には Kernel がソケット・バッファ統合時にフラグメントが共有されている事実を “忘れる” ことで、本来はアクセス不可能であるメモリを破壊してしまう。つまり、 名称そのものが動作メカニズムを示唆している。

Fragnesia の動作原理 (Linux Kernel 脆弱性)

このエクスプロイトは、Kernel が ESP-in-TCP の ULP (Upper Layer Protocol) モードを処理する際に存在する、微妙なロジック・バグを悪用するものである。ファイル・データが受信キューへ splice 済みの状態で、TCP ソケットが espintcp ULP モードへ移行すると、Kernel はそのファイル・ページを誤って ESP 暗号文として処理してしまう。

結果として、AES-GCM のキー・ストリーム 1 バイトが、read-only ファイルの Kernel ページ・キャッシュに対して直接 XOR 書き込みされるため、不安定な競合状態に依存することなく攻撃が可能となる。

IV nonce を精密に制御する攻撃者は、任意のキーストリーム・バイトの生成が可能となり、キャッシュ済みファイル内の任意の 1 バイトが任意の値に書き換えられる。この変更は、トリガーごとに 1 バイトずつ実行される。 

このエクスプロイトは、256 エントリのルックアップ・テーブルを構築し、すべてのキーストリーム値と対応する nonce をマッピングした後に、悪意のペイロードを順次適用してページ・キャッシュ上の /usr/bin/su の先頭 192 バイトを上書きする。

このペイロードは、setresuid(0, 0, 0) を呼び出した後に “/bin/sh” を実行する小型 ELF スタブである。重要な点として挙げられるのは、ディスク上のバイナリは一切変更されず、変更されるのはメモリ上のページ・キャッシュのみである点だ。

影響バージョンと緩和策

Dirtyfrag の影響を受ける Linux Kernel は、2026年5月13日時点で修正パッチが適用されていない、ほぼすべてのバージョンとなる。修正パッチ自体は upstream へ提出済みだが、それが未適用のシステムは、依然として危険な状態にある。パッチ適用までの暫定対策として、管理者にとって必要なことは、影響を受ける ESP モジュールを直ちにアンロードすることである。

textrmmod esp4 esp6 rxrpc
printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf

重要なポスト・エクスプロイト上の注意事項は、エクスプロイト実行後の “/usr/bin/su” のページ・キャッシュが改変された状態で保持され、キャッシュがクリアされるまで su 実行のたびに root shell が起動してしまう点にある。

この事態を防ぐために、管理者はシステムを放置せずに、以下のコマンドラインの実行もしくはシステムの再起動を必ず実行すべきである。

  • echo 1 | tee /proc/sys/vm/drop_caches

すでに、GitHub 上で PoC が公開されており、攻撃実行のハードルは大幅に低下している。したがって、Linux サーバを運用する組織は、この脆弱性を最優先の深刻リスクとして扱い、速やかに upstream パッチを適用すべきである。

訳者後書:今回の Fragnesia という脆弱性は、Kernel がメモリ上のデータを統合する際に、そのデータが共有されていることを失念してしまうという、ロジックの不備が原因で発生しています。本来は、読み取り専用であるはずの重要なファイル・キャッシュが、プログラムの処理ミスにより誤って書き換え可能になってしまいます。この問題は、ESP-in-TCP (Upper Layer Protocol) モードの処理中に生じるため、特定の通信機能を利用している環境では、特に注意が必要です。競合状態を狙うような複雑な手順を踏まずに、着実に実行できてしまう点に、このバグの恐ろしさがあります。ご利用のチームは、ご注意ください。よろしければ、Linux Kernel での検索結果も、ご参照ください。