继 Copy Fail、Dirty Frag 之后,Linux 内核在短短两周内遭遇“第三重暴击”。安全研究人员披露了一个名为 Fragnesia 的全新本地权限提升(LPE)漏洞,任何拥有普通账户权限的攻击者都能稳定地将
/usr/bin/su的页缓存篡改为恶意代码,一旦管理员执行su命令,便会直接落入 root 的 shell 之中。该漏洞已影响 Ubuntu 22.04、24.04 等主流发行版,官方补丁于 2026 年 5 月 13 日 提交,请所有 Linux 服务器管理员立即行动。
一、 漏洞速览:Fragnesia 是什么?
- 漏洞名称:Fragnesia
- 发现者:William Bowling & V12 Security 团队
- 漏洞类型:Linux 内核本地权限提升(LPE)
- 利用前置条件:需要普通用户权限(低权限账号)
- 利用方式:无需竞争条件,稳定性高
- 攻击目标:篡改
/usr/bin/su在内存页缓存中的代码 - 影响范围:凡是受 Dirty Frag 影响且未打 5 月 13 日补丁的内核,均受影响
- 已成功验证平台:Ubuntu 22.04(内核 6.8.0-111-generic)、Ubuntu 24.04
- 补丁状态:上游补丁已于 2026 年 5 月 13 日 提交,各发行版正在推送
二、 漏洞原理:如何篡改 su 二进制文件的内存映像?
该漏洞同样出现在 Linux 内核的 XFRM ESP‑in‑TCP 子系统中(与 Dirty Frag 同一组件),问题根源在于内核在处理共享页碎片与 socket buffer(套接字缓冲区)合并时存在逻辑缺陷,使得系统“忘记”某个内存碎片仍被共享,从而为攻击者留下可控的写入空间。
攻击链路(五步攻破)
- 创建隔离命名空间
攻击者调用unshare()创建独立的用户命名空间和网络命名空间,在该隔离环境中获得CAP_NET_ADMIN能力(网络管理权限),无需全局 root。 - 布置特制 ESP 安全关联
利用一个已知的 AES‑128‑GCM 密钥,建立恶意 IPsec ESP 安全关联,并构造一个 256 项的查找表,为后续逐字节改写做准备。 - 将 su 二进制文件映射到 socket 缓冲区
利用内核漏洞将目标文件/usr/bin/su的页面直接拼接到 TCP 套接字的缓冲区中,然后切换至espintcp上层协议模式。 - AES‑GCM 密钥流异或篡改
内核尝试“解密”队列中的数据时,实际上将 AES‑GCM 密钥流直接异或进了/usr/bin/su在页缓存中的副本。攻击者可以精确控制哪些字节被翻转。 - 植入恶意 root shell 桩代码
攻击者将/usr/bin/su文件头部的前 192 字节改写成一段小型 ELF 桩代码,该代码会调用setresuid(0,0,0)并执行/bin/sh。磁盘上的 su 文件并未被修改,篡改只存在于内存页缓存中,因此传统文件完整性检查工具无法发现异常。
三、 危害分析:为什么比普通提权更隐蔽?
| 特点 | 说明 |
|---|---|
| 无需竞争条件 | 攻击成功率极高,稳定性强 |
| 不修改磁盘文件 | 所有传统文件扫描、Tripwire 均无法检测 |
| 持久性有限 | 重启或页缓存被冲刷后篡改失效,但攻击者可在重启前完成提权 |
| 低门槛 | 仅需一个普通 shell 账号(例如通过 Web 漏洞获取的 www-data) |
| 影响广泛 | Ubuntu 22.04/24.04 已验证,其他主流发行版大概率受影响 |
一旦攻击者利用该漏洞篡改内存中的 su,任何管理员执行 su 命令时都会直接获得一个 root shell(无需密码),攻击者可趁机植入后门、窃取数据或横向渗透。
四、 受影响版本与补丁信息
- 上游补丁提交时间:2026 年 5 月 13 日
- 受影响内核版本:所有未包含该补丁且受 Dirty Frag 影响的内核(具体版本需查阅各发行版安全公告)
- 已验证受影响发行版:
- Ubuntu 22.04(内核 6.8.0-111-generic)
- Ubuntu 24.04
- 缓解措施:
- 对于不使用 IPsec ESP 或 RxRPC 协议 的系统,可卸载相关内核模块(如
xfrm_interface、espintcp等)。 - 立即安装发行版提供的内核安全更新。
五、 站长/运维人员紧急行动指南
5.1 检查系统是否可能已被利用
# 查看 /usr/bin/su 的哈希值(与干净系统对比)
sha256sum /usr/bin/su
# 如果怀疑内存页缓存已被篡改,执行以下命令强制冲刷页缓存(会短暂影响性能)
sync && echo 3 > /proc/sys/vm/drop_caches
# 然后立即重新检查 su 的哈希值,若恢复正常说明曾被篡改5.2 尽快安装内核补丁
- Ubuntu:
sudo apt update && sudo apt upgrade linux-image-$(uname -r) - Debian:
sudo apt update && sudo apt upgrade linux-image-amd64 - CentOS/RHEL:
sudo yum update kernel或sudo dnf update kernel - 更新后必须重启才能生效。
5.3 临时缓解措施(若无法立即重启)
# 禁止非特权用户创建新的命名空间(降低攻击面)
sudo sysctl -w kernel.unprivileged_userns_clone=0
# 将该设置持久化
echo "kernel.unprivileged_userns_clone=0" >> /etc/sysctl.conf
# 卸载有漏洞的内核模块(如果系统不需要 IPsec ESP over TCP)
sudo modprobe -r espintcp xfrm_interface
# 并加入黑名单
echo "blacklist espintcp" >> /etc/modprobe.d/blacklist.conf
echo "blacklist xfrm_interface" >> /etc/modprobe.d/blacklist.conf5.4 强化主机安全与纵深防御
虽然 Fragnesia 是本地提权漏洞,但攻击者通常需要通过 Web 应用漏洞、弱密码 SSH 等途径先获得一个低权限 shell。部署 百度云防护 WAF 可以有效拦截:
- SQL 注入、文件上传等获取初始入口的攻击;
- 结合 主机安全产品(HIDS)监控异常的
su提权行为、敏感进程创建。
百度云防护 WAF 提供虚拟补丁能力,即使业务系统存在漏洞,也可在网络层阻断攻击流量。套餐计费、用完即停,适合个人站长和中小企业。
六、 总结
Fragnesia 是 Linux 内核在两周内被公开的第三个本地提权漏洞,其稳定性和隐蔽性均超过前两个。在官方补丁全面部署前,攻击者可以轻易地利用一个普通用户账号将 /usr/bin/su 变成自己的 root 后门。请所有 Linux 服务器管理员立即检查内核版本,并于 5 月 13 日之后更新补丁,并重启系统。
如果你对自己的服务器安全状况不确定,或需要协助部署 WAF 与主机安全产品,欢迎联系 主机吧。我们提供免费安全评估和应急响应咨询。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让每一次内核漏洞利用都无处遁形,让每一台 Linux 服务器都固若金汤。
