Fragnesia concede root su Linux mentre Nginx Rift abilita RCE dopo 18 anni

Fragnesia e Nginx Rift espongono contemporaneamente milioni di sistemi Linux e server web a escalation privilegio e remote code execution. La falla CVE-2026-46300 consente a utenti locali non privilegiati di ottenere privilegi root attraverso un bug logico nel sottosistema XFRM ESP-in-TCP del kernel Linux, mentre CVE-2026-42945 introduce un heap buffer overflow critico nel modulo ngx_http_rewrite_module di NGINX rimasto nascosto per quasi diciotto anni. Le due vulnerabilità colpiscono componenti fondamentali dell’infrastruttura Internet moderna: kernel Linux e server NGINX. L’impatto riguarda cloud, container, hosting condivisi, reverse proxy, ambienti enterprise e infrastrutture critiche. Gli amministratori devono intervenire rapidamente perché Fragnesia permette privilege escalation locale stabile e Nginx Rift consente a un attaccante remoto non autenticato di provocare overflow heap controllati con una singola richiesta HTTP craftata. In un contesto dove Linux continua a essere bersaglio di exploit kernel e vulnerabilità LPE universali, queste due falle confermano quanto anche componenti storici e consolidati possano nascondere bug estremamente pericolosi.

Fragnesia permette privilege escalation a root su kernel Linux

La vulnerabilità Fragnesia, identificata come CVE-2026-46300, colpisce tutti i kernel Linux rilasciati prima del 13 maggio 2026 e permette a un utente locale senza privilegi di ottenere accesso root in modo affidabile e deterministico. Il bug risiede nel sottosistema XFRM ESP-in-TCP e genera una primitiva di scrittura arbitraria nella page cache del kernel. L’attaccante può modificare direttamente i byte presenti nella cache di binari read-only come /usr/bin/su senza alterare fisicamente il filesystem su disco. Questa tecnica consente di corrompere il comportamento dei binari e ottenere immediatamente privilegi elevati. A differenza di molte vulnerabilità kernel tradizionali, Fragnesia non richiede race condition né sincronizzazioni particolari e funziona stabilmente su diverse distribuzioni major. Il ricercatore William Bowling di Zellic ha pubblicato un proof-of-concept completo su GitHub dimostrando la possibilità di ottenere shell root partendo da un semplice account locale non privilegiato. La vulnerabilità appartiene alla classe Dirty Frag, ma riceve una patch distinta e indipendente rispetto ai precedenti bug della stessa famiglia.

Il bug XFRM ESP-in-TCP corrompe la page cache in modo deterministico

Il problema tecnico alla base di Fragnesia coinvolge i moduli esp4, esp6 e rxrpc del kernel Linux. Il difetto logico permette di ottenere una scrittura arbitraria nella cache di pagine del kernel attraverso il meccanismo XFRM ESP-in-TCP. L’attaccante controlla direttamente i byte scritti nella page cache e modifica l’esecuzione di binari protetti senza alterare i file originali sul disco. Questo rende l’exploit estremamente silenzioso e difficile da rilevare tramite controlli tradizionali sul filesystem.

Il proof-of-concept pubblicato da V12 dimostra il funzionamento dell’attacco contro distribuzioni Linux diffuse senza necessità di privilegi avanzati iniziali. Il ricercatore ha descritto Fragnesia come “another day, another universal Linux LPE”, evidenziando quanto la vulnerabilità sia generalizzata e sfruttabile. Le mitigazioni temporanee prevedono il blacklisting dei moduli vulnerabili tramite configurazioni in /etc/modprobe.d/ e la rimozione runtime con comandi come rmmod esp4 esp6 rxrpc. Tuttavia questa contromisura interrompe funzionalità critiche come VPN IPsec e servizi AFS. Le vulnerabilità nel networking stack Linux rappresentano ormai una superficie d’attacco privilegiata per escalation privilegio e container escape, soprattutto negli ambienti cloud condivisi.

Fragnesia colpisce cloud, container e server multiutente

L’impatto operativo di Fragnesia è particolarmente rilevante negli ambienti cloud e containerizzati dove utenti differenti condividono lo stesso kernel Linux. Un attaccante che ottiene accesso limitato a un container o a una shell applicativa può sfruttare la vulnerabilità per elevarsi rapidamente a root sull’host sottostante. Questo rende la falla estremamente pericolosa per provider hosting, piattaforme Kubernetes, infrastrutture CI/CD e server multiutente. Microsoft, Red Hat e CloudLinux hanno confermato che le mitigazioni già applicate per Dirty Frag riducono parzialmente il rischio anche per Fragnesia fino all’installazione dei kernel aggiornati. Il punteggio CVSS 7.8 classifica il bug come high-severity, ma il rischio reale potrebbe risultare superiore considerando la stabilità dell’exploit e la semplicità di esecuzione. Al momento della divulgazione non risultano exploit osservati in the wild, ma un attore cybercrime aveva già pubblicizzato un Linux LPE zero-day simile in forum underground per circa 170.000 dollari. Questo dettaglio conferma l’elevato valore economico attribuito alle vulnerabilità kernel universali in ambienti enterprise e cloud.

Nginx Rift abilita remote code execution dopo 18 anni di latenza

Parallelamente emerge Nginx Rift, vulnerabilità identificata come CVE-2026-42945 che colpisce il modulo ngx_http_rewrite_module di NGINX con un heap buffer overflow critico. La falla è rimasta nascosta per quasi diciotto anni e interessa versioni NGINX Open Source dalla 0.6.27 fino alla 1.30.0, oltre a numerosi prodotti F5 basati su NGINX come NGINX Instance Manager, App Protect WAF, Gateway Fabric e Ingress Controller. L’attacco richiede soltanto una configurazione rewrite relativamente comune e una singola richiesta HTTP craftata inviata da remoto senza autenticazione. Se il sistema non utilizza ASLR, l’overflow può portare direttamente a remote code execution. Anche con ASLR attivo, l’attaccante può provocare crash ripetuti e denial-of-service sui worker NGINX. La piattaforma depthfirst ha scoperto autonomamente la vulnerabilità e ha effettuato responsible disclosure il 21 aprile 2026, mentre F5 ha pubblicato advisory e patch ufficiali il 13 maggio 2026. Il punteggio CVSS v4.0 9.2 classifica il bug come critico.

Il rewrite module di NGINX contiene un heap overflow controllabile dall’URI

La vulnerabilità si trova nel file src/http/ngx_http_script.c e coinvolge la gestione delle capture PCRE unnamed come $1 o $2 nelle direttive rewrite. Il bug emerge quando una direttiva rewrite viene seguita da un’altra rewrite, if o set e il replacement contiene un punto interrogativo. In questo scenario il motore principale imposta il flag is_args, ma il sub-engine non aggiorna correttamente il calcolo della lunghezza del buffer allocato. Quando la funzione ngx_http_script_copy_capture_code esegue la copia applicando ngx_escape_uri in modalità NGX_ESCAPE_ARGS, caratteri come +, % e & espandono la dimensione effettiva dei dati causando scrittura oltre il buffer heap. Il risultato è una corruzione heap completamente controllata dall’URI fornita dall’attaccante. Depthfirst ha pubblicato trace completi tramite AddressSanitizer mostrando overflow deterministici controllabili da remoto. La configurazione vulnerabile tipica utilizza regole come rewrite ^/users/([0-9]+)/profile/(.*) /profile.php?id=$1&tab=$2 last. In questo scenario i byte oltre il buffer derivano direttamente dai dati dell’attaccante. Le vulnerabilità nei parser HTTP e nei reverse proxy continuano a rappresentare uno dei rischi più gravi per i servizi Internet esposti soprattutto quando coinvolgono componenti storici usati da milioni di server.

Nginx Rift colpisce F5, Ingress Controller e ambienti cloud

L’impatto di Nginx Rift va ben oltre il semplice web server standalone. Molti prodotti F5 e piattaforme Kubernetes integrano direttamente NGINX come reverse proxy o ingress controller. Questo significa che cluster containerizzati, API gateway, sistemi WAF e infrastrutture cloud-native possono risultare vulnerabili. I prodotti interessati comprendono NGINX Plus R32-R36, NGINX Instance Manager, App Protect WAF, Gateway Fabric e altri componenti embedded. La falla interessa esclusivamente il data plane e non richiede autenticazione o sessioni attive. Un attaccante remoto può colpire direttamente il worker process di NGINX inviando una singola richiesta HTTP craftata. L’overflow heap permette in alcuni scenari la manipolazione controllata della memoria e potenziale esecuzione di codice arbitrario. La pericolosità aumenta negli ambienti multi-tenant o edge dove NGINX gestisce grandi volumi di traffico pubblico. Depthfirst sottolinea che la corruzione heap è particolarmente stabile perché i byte overflowati dipendono direttamente dall’URI controllata dall’attaccante.

Le patch correggono Fragnesia e Nginx Rift ma molti sistemi restano esposti

Le patch per entrambe le vulnerabilità sono già disponibili ma il rischio operativo resta elevato perché milioni di sistemi utilizzano ancora versioni vulnerabili di Linux e NGINX. Per Fragnesia le distribuzioni Linux stanno distribuendo kernel aggiornati successivi al 13 maggio 2026, mentre chi non può aggiornare immediatamente deve disabilitare i moduli esp4, esp6 e rxrpc tramite blacklisting. Per Nginx Rift, NGINX Open Source riceve fix nelle versioni 1.30.1 e 1.31.0, mentre NGINX Plus corregge il problema con R32 P6 e R36 P4. Le versioni storiche comprese tra 0.6.27 e 0.9.7 non riceveranno patch ufficiali. Gli amministratori che non possono aggiornare subito devono sostituire le unnamed capture con named capture come (?<user_id>[0-9]+) per mitigare il rischio senza alterare il comportamento delle regole rewrite. F5 raccomanda inoltre il riavvio completo di NGINX dopo l’upgrade per garantire la corretta applicazione delle patch.

Fragnesia e Nginx Rift mostrano la fragilità dei componenti open source critici

La comparsa simultanea di Fragnesia e Nginx Rift evidenzia un problema strutturale dell’ecosistema open source moderno: componenti utilizzati ovunque possono nascondere bug critici per anni prima di essere scoperti. Linux e NGINX rappresentano pilastri fondamentali dell’infrastruttura Internet globale, ma proprio la loro diffusione amplifica enormemente l’impatto di vulnerabilità apparentemente locali o di nicchia. Fragnesia dimostra quanto sia pericolosa la combinazione tra networking kernel e gestione page cache, mentre Nginx Rift conferma che anche moduli storici apparentemente maturi possono contenere bug memory corruption sfruttabili da remoto. Gli amministratori devono trattare queste vulnerabilità come priorità assolute soprattutto in ambienti cloud, hosting condivisi, edge computing e container orchestration. L’assenza di exploit pubblici attivi non riduce il rischio reale, perché la semplicità dei trigger e la disponibilità di proof-of-concept accelerano inevitabilmente la weaponization da parte di attori cybercrime e APT.