בחודש מאי 2026, חוקרי אבטחה חשפו פגיעות קריטית חדשה בגרעין Linux בשם Fragnesia, המאפשרת לכל משתמש מקומי ללא הרשאות מיוחדות להשיג הרשאות root מלאות על מערכת פגיעה. הפגיעות עוקבת תחת המספר CVE-2026-46300 וקיבלה ציון CVSS של 7.8.

מה שמייחד את Fragnesia ומקשה עליה במיוחד: אין צורך בתנאי מרוץ (race condition), אין צורך בניצול מורכב, וקוד ניצול (PoC) ציבורי כבר זמין ב-GitHub. כל מי שמפעיל שרת Linux לא מעודכן חשוף.

מה בדיוק הפגיעות עושה?

Fragnesia מנצלת באג לוגי בתת-מערכת XFRM ESP-in-TCP של גרעין Linux. הגרעין "שוכח" שמקטע (fragment) משותף במהלך איחוי מאגרי שקעים, מה שמוביל לפגיעה בזיכרון שלא אמור להיות נגיש. התוצאה: תוקף יכול לשכתב קבצי מערכת לקריאה בלבד בזיכרון המטמון (page cache) ולהריץ פקודות כ-root.

ה-PoC הציבורי מדגים כיצד משנים את הקובץ /usr/bin/su בזיכרון, כך שכל הפעלה שלו מחזירה מעטפת root. הקובץ על הדיסק לא נגע כלל — השינוי קיים רק בזיכרון, ומתאפס בהפעלה מחדש או בשטיפת מטמון. אבל עד אז, המחשב בידי התוקף.

מי בסיכון?

כל גרעין Linux שפורסם לפני 13 במאי 2026 פגיע. בפועל, זה כולל מרבית הפצות Linux הנפוצות: Ubuntu, Debian, AlmaLinux, RHEL, CentOS ועוד. הפצות כגון AlmaLinux ו-CloudLinux כבר שחררו תיקוני גרעין. הפצות נוספות ממשיכות לפרסם עדכונים.

Fragnesia היא הפגיעות השלישית מסוג הסלמת הרשאות מקומי בגרעין Linux בפחות משלושה שבועות, אחרי Copy Fail (29 באפריל) ו-Dirty Frag (7 במאי). שלושתן שייכות לאותה משפחת פגיעויות בתת-מערכת ה-XFRM.

מה עושים עכשיו?

עדיפות ראשונה — עדכון גרעין: בדקו אם ההפצה שלכם שחררה תיקון ועדכנו מיד. זה הפתרון המלא והיחיד.

עד שהעדכון זמין — הסרת מודולים: הגבלת הגישה למודולים הפגיעים מפחיתה את הסיכון:

echo 'install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false' > /etc/modprobe.d/fragnesia.conf
modprobe -r esp4 esp6 rxrpc 2>/dev/null
update-initramfs -u

אחרי ההקלה — שטיפת מטמון: אם יש חשש שהניצול כבר הופעל לפני ההקלה, חובה לנקות את page cache:

sudo sh -c "echo 3 > /proc/sys/vm/drop_caches"

צוות Microsoft Threat Intelligence הדגיש שהתוקף יכול לשנות כל קובץ הקריא על ידי המשתמש — לא רק /usr/bin/su. כלומר, הנזק הפוטנציאלי גדול הרבה יותר ממה שה-PoC הציבורי מדגים.

הקשר לעסקים קטנים בישראל

לרוב העסקים הקטנים אין שרתי Linux פנימיים חשופים ישירות. אבל קיימות נקודות חשיפה עקיפות: שרתי web hosting המבוססים על Linux, שרתי NAS המריצים Linux, סביבות Docker ו-WSL על מחשבי מפתחים, ושרתי ענן בסביבות AWS/Azure/GCP.

הסיכון המעשי בהקשר הזה הוא תוקף שכבר חדר לסביבה ברמת הרשאות נמוכה — דרך דיוג, פגיעות ב-web app, או גנבת אישורים — ומשתמש ב-Fragnesia כדי להסלים הרשאות ולהשלים את השתלטות. בדיוק כמו שראינו עם פגיעות NGINX Rift שסיקרנו לאחרונה, שרשרת פגיעויות היא המנגנון הנפוץ ביותר במתקפות מתוחכמות.

סיכום

Fragnesia היא פגיעות אמיתית עם PoC ציבורי וסיכון ניצול בפועל. אם אתם מפעילים שרתי Linux בסביבה כלשהי, בדקו את גרסת הגרעין עכשיו ועדכנו מיד ברגע שתיקון זמין להפצה שלכם. הקלות זמניות (הסרת מודולים + שטיפת מטמון) הכרחיות עד שהעדכון מותקן.

יש לכם שאלות על מצב שרתי Linux בסביבה שלכם? צרו איתנו קשר ונבדוק יחד.