Le 14 mai 2026, William Bowling de l'équipe V12 Security a publié un exploit kernel Linux baptisé Fragnesia, référencé CVE-2026-46300 avec un score CVSS de 7.8. La vulnérabilité permet à un attaquant local d'obtenir un accès root sur toutes les distributions majeures, et ce seulement 8 jours après le patch de Dirty Frag. Le proof of concept est disponible publiquement sur GitHub. Source : Korben.
Ce qui distingue Fragnesia des exploits précédents, c'est sa fiabilité totale. Contrairement à Dirty COW en 2016, qui nécessitait de gagner une condition de course parfois une fois sur mille, Fragnesia est 100 % reproductible à chaque exécution, sans aucun facteur aléatoire. Un attaquant ayant un accès local à votre machine, même limité, obtient root au premier essai. Pas de tentative répétée, pas de bruit excessif dans les logs : c'est chirurgical.
La chronologie aggrave le tableau. Quatre vulnérabilités d'escalade de privilèges kernel Linux ont été publiées en deux semaines : Copy Fail le 1er mai, Dirty Frag le 8 mai, Fragnesia le 14 mai. Si vous avez mis à jour votre noyau le 8 mai en réponse à Dirty Frag, vous n'êtes pas protégé contre Fragnesia. Le patch du 8 mai a corrigé un chemin d'exploitation particulier sans toucher à la fonction kernel d'origine, ce qui a laissé le bug logique sous-jacent intact et exploitable via un vecteur différent.
Pour les équipes qui gèrent des environnements Linux en production, des serveurs VPN IPsec d'entreprise ou des infrastructures cloud, la surface d'attaque exposée est concrète : tout utilisateur local non privilégié, tout processus compromis avec des droits limités, peut devenir root. Dans un contexte de mouvement latéral post-intrusion, c'est exactement le type de primitive qu'un attaquant cherche.
Toutes les distributions Linux majeures sont concernées. Bowling mentionne explicitement les environnements Ubuntu 24.04 avec kernel 6.8.0-111-generic comme cible de test reproductible. La vulnérabilité touche la gestion IPsec du kernel, ce qui signifie que tout système faisant tourner les modules esp4, esp6 ou rxrpc est exposé.
AlmaLinux a publié des kernels corrigés. Pour les autres distributions, les patches sont en cours au moment de la publication de l'exploit. Les environnements utilisant IPsec pour du VPN d'entreprise sont particulièrement dans le viseur puisque c'est exactement la couche réseau que l'exploit détourne. Les systèmes ayant appliqué uniquement le patch Dirty Frag du 8 mai restent vulnérables à Fragnesia.
Bloquer les modules kernel exposés immédiatement. La mitigation consiste à désactiver les modules esp4, esp6 et rxrpc via modprobe. C'est la même commande que celle utilisée pour Dirty Frag. Sur les systèmes où IPsec n'est pas utilisé en production, cette action est sans impact fonctionnel et peut être appliquée sans délai.
Vérifier votre version de kernel et votre distribution. Si vous êtes sur AlmaLinux, appliquez les kernels corrigés déjà disponibles. Pour les autres distributions, surveillez les bulletins de sécurité de votre éditeur et préparez la procédure de mise à jour dès que le patch est disponible. Ne considérez pas le patch Dirty Frag du 8 mai comme une protection contre CVE-2026-46300.
Auditer les accès locaux sur vos systèmes Linux critiques. Fragnesia est une LPE (local privilege escalation) : le prérequis est un accès local, même non privilégié. Passez en revue les comptes de service, les applications web exposées, les accès SSH avec des droits limités. Tout vecteur permettant d'exécuter du code local devient un chemin vers root.
Renforcer la surveillance des fichiers sensibles. L'exploit cible spécifiquement des fichiers comme /usr/bin/su en écrasant leur contenu en mémoire. Configurez une supervision d'intégrité sur les binaires SUID critiques. Une modification inattendue de ces fichiers doit déclencher une alerte immédiate, pas un rapport hebdomadaire.
Isoler les environnements où le blocage des modules n'est pas possible. Si vous exploitez des infrastructures VPN IPsec qui dépendent des modules esp4 ou esp6, désactiver ces modules n'est pas une option viable. Dans ce cas, appliquez une segmentation réseau stricte pour limiter les accès locaux, et priorisez l'application du patch dès sa disponibilité pour votre distribution.
Non. Ils partagent la même surface d'attaque dans la gestion IPsec du kernel et le même type de faille logique, ce que Bowling appelle la "famille Dirty Frag". Mais Fragnesia exploite un bug différent, non corrigé par le patch du 8 mai. Les deux coexistent et nécessitent des corrections distinctes.
Non. Le patch du 8 mai a corrigé un chemin spécifique sans modifier la fonction kernel d'origine responsable du problème. Fragnesia emprunte un chemin différent vers le même bug sous-jacent. Les systèmes mis à jour uniquement pour Dirty Frag restent entièrement vulnérables à Fragnesia.
Non selon les informations disponibles. CVE-2026-46300 est une escalade de privilèges locale : l'attaquant doit déjà disposer d'un accès sur le système, même avec des droits limités. Le risque concerne principalement les scénarios de post-exploitation ou les environnements multi-utilisateurs mal cloisonnés.
Il n'y a pas d'indicateurs de compromission publiés à ce stade. Vérifiez l'intégrité de vos binaires SUID comme /usr/bin/su, examinez les logs d'authentification pour des élévations de privilèges inattendues, et contrôlez les modifications récentes sur les fichiers système critiques.
