arnoldmelm5d ago

Mit #Fragnesia ist eine weitere Variante der Linux-Kernel-Lücke #CopyFail bekannt geworden. Die Schwachstelle ermöglicht es lokalen Angreifern Root-Rechte zu erlangen und betrifft erneut das XFRM-ESP-Subsystem von #IPsec. XFRM ESP-in-TCP ist eine Erweiterung des Linux-Netzwerk-Stacks für
IPsec-Verbindungen. Sie kapselt verschlüsselte ESP-Pakete in TCP, damit #VPN-Verbindungen auch in Netzwerken funktionieren, die herkömmlichen IPsec-Datenverkehr blockieren oder filtern.

https://www.linux-magazin.de/news/neue-linux-kernel-luecke-fragnesia-ermoeglicht-root-zugriff-ueber-ipsec-subsystem/

Neue Linux-Kernel-Lücke Fragnesia ermöglicht Root-Zugriff über IPsec-Subsystem

Mit Fragnesia ist eine weitere Variante der Linux-Kernel-Lücke Copy Fail bekannt geworden. Die Schwachstelle ermöglicht es lokalen Angreifern Root-Rechte zu erlangen und betrifft erneut das XFRM-ESP-Subsystem von IPsec. XFRM ESP-in-TCP ist eine Erweiterung des Linux-Netzwerk-Stacks für IPsec-Verbindungen. Sie kapselt verschlüsselte ESP-Pakete in TCP, damit VPN-Verbindungen auch in Netzwerken funktionieren, die herkömmlichen IPsec-Datenverkehr blockieren oder filtern. Technisch nutzt der Angriff einen Fehler in der Verarbeitung fragmentierter Speicherbereiche innerhalb von XFRM ESP-in-TCP aus. Durch speziell präparierte Netzwerkpakete lassen sich inkonsistente Zustände im Speicher erzeugen, wodurch Angreifer Schreibzugriffe auf Kernel-Speicherbereiche erhalten können. Konkret wird dabei eine Speicherkorruption im Zusammenhang mit dem Page-Cache ausgelöst. Der Exploit manipuliert anschließend gezielt den Cache-Eintrag der Datei /usr/bin/su. Dadurch werden beim Ausführen des Programms veränderte Datenstrukturen aus dem Speicher geladen, was letztlich das Starten einer Shell mit Root-Rechten ermöglicht. Die eigentliche Binärdatei auf dem Datenträger bleibt dabei unverändert, da ausschließlich der im RAM befindliche Page-Cache verändert wird.

Linux-Magazin
sayzard6d ago

Recent Kernel exploits, attack surface reduction, example IPSEC

최근 다수의 리눅스 커널 취약점이 IPSEC 관련 'esp' 모듈에서 발견되었으며, IPSEC은 현재 널리 사용되지 않는 기능이다. 이에 따라 사용하지 않는 커널 모듈을 기본 설치하지 않고 별도 패키지로 분리하는 방식으로 공격 표면을 줄이는 방안이 제안되었다. 이는 보안 강화에 효과적이며, 최근 로컬 루트 취약점의 영향을 크게 줄일 수 있다. 다만, 커널 패키징 복잡도 증가라는 단점도 존재한다.

https://www.openwall.com/lists/oss-security/2026/05/16/3

#linux #kernel #security #ipsec #attacksurfacereduction

oss-security - Recent Kernel exploits, attack surface reduction, example IPSEC

Show threadAlterego_MidshipmanMay 14

Несмотря на технологичность связки внешнего роутера и Wi-Fi Calling, на практике можно столкнуться с рядом проблем — от сетевых задержек до специфики работы самого оборудования.
### **1. Проблемы на уровне транспортного канала (LTE/5G)**
* **Высокий джиттер (Jitter):** Голос критичен к микрозадержкам. Если внешний роутер работает на пределе дистанции, пакеты могут приходить неравномерно, что вызывает «заикание» звука, даже если общая скорость интернета высокая.
* **Перегрузка базовой станции:** Wi-Fi Calling — это IP-трафик. В часы пик оператор может приоритизировать «чистый» голос (VoLTE) над данными, что приведет к деградации качества вашего звонка через Wi-Fi.
### **2. Проблемы сетевого уровня (IPsec и NAT)**
* **Блокировка портов:** Для работы Wi-Fi Calling требуются открытые порты **UDP 500** и **UDP 4500** для построения IPsec-туннеля. Некоторые провайдеры (или настройки брандмауэра на роутере) могут их блокировать.
* **Double NAT:** Если внешний роутер выдает «серый» IP, а внутренний роутер создает еще одну подсеть, туннель до оператора может не подняться или постоянно обрываться.
### **3. Проблемы терминального оборудования (Смартфон)**
* **Агрессивное энергосбережение:** Некоторые Android-смартфоны в режиме ожидания отключают Wi-Fi или «усыпляют» фоновые процессы, из-за чего входящий звонок может просто не дойти.
* **Конфликт приоритетов:** Смартфон может удерживать одну «палочку» слабого сотового сигнала до последнего, не переключаясь на стабильный Wi-Fi, пока связь полностью не оборвется.
### **4. Инфраструктурные ограничения**
* **Отсутствие бесшовного роуминга:** Если в здании несколько точек доступа без поддержки протоколов **802.11k/r/v**, то при переходе из комнаты в комнату звонок прервется в момент переподключения к новой точке.
* **Геолокация и экстренные службы:** В некоторых случаях при звонке через Wi-Fi оператор не может точно определить ваше местоположение, что критично для вызова экстренных служб.
### **Таблица диагностики**

| Симптом | Вероятная причина | Решение |
| :--- | :--- | :--- |
| **Голос робота / задержка** | Высокий джиттер или пинг на LTE | Настройка антенны, выбор менее загруженного диапазона (B3/B7/B20). |
| **Звонки не проходят вообще** | Закрыты порты 500/4500 | Проброс портов или активация функции IPSec Passthrough. |
| **Обрыв при перемещении** | Нет Mesh-роуминга | Установка системы с поддержкой 802.11k/r. |
| **Телефон «не видит» Wi-Fi Calling** | Ограничение оператора или SIM | Проверка поддержки услуги у оператора, замена старой SIM-карты. |

#Troubleshooting #NetworkLatency #IPsec #VoWiFiProblems #Telecom #LTE_Issues #NetworkSecurity #MeshNetwork #MobileConnectivity #TechSupport

Simone SpinediMay 14

After a couple of months of Containerlab usage, I started to deploy more challenging topologies and implementation, to test environment stability. Here you can read about a simple #IPSec implementation performed on #Containerlab.

#NetworkEngineer #Labs

https://simonespinedi.net/blog/containerlab-ipsec-s2s-tunnel/

Containerlab - S2S Tunnel with IPSec (IKEv2) · Simone Spinedi

Testing about one of the most used security suite

L⌐ "SpätzleGrab™",8,1May 12

Möchte mir jemand die Vorteile von #ipsec erklären?!

Es darf dann aber bitte vorher noch das Testament machen... 🤬

data0May 8

And here's another one:
https://github.com/0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo

This one is not fixed by f4c50a40, so all current kernels are vulnerable. Looks like mitigation is possible by blocking kernel modules `esp4` + `esp6` here as well (and breaking #IPSec in doing so). Can someone confirm?

Why is it called "Electric Boogaloo"… is this a #DonaldByrd fan? Were they inspired by this week's @thekalimerashow shows??

#privilegeescalation #linux #vulnerability #linuxadmin #sysadmin #exploit #copyfail2 #electricboogaloo

GitHub - 0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo: Copy Fail 2: Electric Boogaloo

Copy Fail 2: Electric Boogaloo. Contribute to 0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo development by creating an account on GitHub.

GitHub
Show threaddata0May 8
Looks like disabling those modules will break #IPSec (VPN) and the #AFS file system (never seen it used in the wild). Also, the exploit doesn't work on #Android… damn! :-)
Show threadMarcel WaldvogelMay 8

@devopscats
Do not apply on hosts which need IPsec.

Workarounds:

1️⃣ Try to migrate away from #IPsec to #Wireguard (quite some work per setup)

2️⃣ Use #SELinux to limit what "normal" processes can do with the modules (even more work, but probably only needs to be done once)

3️⃣ If none of this works, secure and minitor these machines, especially preventing untrusted users or code

Rod2ik 🇪🇺 🇨🇵 🇪🇸 🇨🇱 🇺🇦 🇨🇦 🇬🇱 ☮🕊️May 6
01net.com: #Cyberattaque #chinoise en cours sur le logiciel populaire #DaemonTools de #Windows : ce logiciel populaire a été #piraté, des milliers d' #ordinateurs #compromis #pirate #hacker #cybersécurité #IPSec #blueteam #redteam www.01net.com/actualites/c...

Cyberattaque chinoise en cours...
Rod2ik 🇪🇺 🇨🇵 🇪🇸 🇨🇱 🇺🇦 🇨🇦 🇬🇱☮🕊️May 6

01net.com: #Cyberattaque #chinoise en cours sur le logiciel populaire #DaemonTools de #Windows : ce logiciel populaire a été #piraté, des milliers d' #ordinateurs #compromis

#pirate #hacker #cybersécurité #IPSec #blueteam #redteam

https://www.01net.com/actualites/cyberattaque-chinoise-cours-windows-logiciel-populaire-pirate-milliers-ordinateurs-compromis.html