Los investigadores de seguridad han publicado exploits funcionales detallados para el uso posterior al kernel de Linux. Esto permite a los usuarios locales sin privilegios escapar del contenedor escalando a la raíz.
Esta falla, CVE-2026-23111, existe en el código de filtrado de paquetes nf_tables del kernel y fue reparada en sentido ascendente el 5 de febrero de 2026. Exodus Intelligence publicó un tutorial técnico completo el 8 de junio, pero ni siquiera es el primer exploit público; FuzzingLabs publicó una reproducción independiente en abril.
La falla se debió a un único carácter perdido, una verificación inversa en nf_tables y se eliminó en una línea mediante una solución ascendente. Ubuntu califica esta falla como CVSS 7.8 (Alta). Si el paquete del kernel de su distribución aún no incluye la solución, actualícelo y reinicie.
Las configuraciones accesibles son comunes. nf_tables y espacios de nombres de usuarios sin privilegios. Esta es una característica de Linux que permite que las cuentas normales actúen como root dentro de una zona de pruebas privada y accedan al código del kernel que de otro modo sería inaccesible.
Ambos se envían de forma predeterminada con la mayoría de las versiones de escritorio y de servidor. No existen vectores remotos propietarios. Este es un error al que se llega después de que un atacante se afianza y convierte un shell con pocos privilegios, un contenedor comprometido o una cuenta de servicio en root en el host.
El investigador de Exodus, Oliver Sieber, descubrió este error a principios de 2025 y lo encadenó a una ruta totalmente local. El exploit inicia un uso después de la liberación, evitando las protecciones de memoria integradas del kernel, luego toma el control de ejecución, se otorga a sí mismo root y sale del espacio de nombres del contenedor.
Lo demostró en Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS y Ubuntu 24.04 LTS.
FuzzingLabs reprodujo el error en RHEL 10 antes de Pwn2Own Berlin 2026 y creó su propio exploit de raíz con una raíz diferente. El calendario es apretado. Se envió una versión revisada el 5 de febrero, FuzzingLabs se publicó el 16 de abril y un artículo detallado de Exodus se publicó el 8 de junio.
Esta técnica está actualmente documentada en Debian, Ubuntu y Red Hat. Dado que este error está en la línea principal, las distribuciones que enviaron núcleos vulnerables con ambas características habilitadas están en riesgo a menos que la ruta esté bloqueada por un endurecimiento de la distribución o restricciones de espacio de nombres.
CVE-2026-23111 ocurrió durante la divulgación masiva de raíces locales en Linux. En las últimas semanas, hemos visto Copy Fail, la cadena Dirty Frag, su variante Fragnesia DirtyDecrypt y una falla de ptrace de nueve años que lee /etc/shadow y ejecuta comandos como root.
Aunque los detalles son diferentes, hay áreas comunes que deberían preocupar a los defensores. Es decir, los scaffolds sin privilegios siguen cambiando a raíz durante las instalaciones normales.
Actualice el kernel y reinicie. Este error es solo local y requiere un espacio de nombres de usuario sin privilegios, así que concéntrese primero en los sistemas que permiten que usuarios o cargas de trabajo que no sean de confianza creen espacios de nombres.
Ubuntu tiene correcciones para 22.04, 24.04 y 25.10, Debian tiene correcciones para Bookworm y Trixie, y un backport 6.1 para Bullseye LTS. Red Hat, SUSE y Amazon Linux también están rastreando esta falla. La versión exacta de la solución varía, así que consulte el aviso de la distribución que coincida con el paquete del kernel que está utilizando. La solución inicial fue una sola línea de código.
Hay una imagen más grande. En una revisión reciente del aumento de LPE, Synacktiv vincula este ritmo con la investigación asistida por IA y los deltas de parches que liberan vulnerabilidades funcionales antes de que las correcciones se generalicen, argumentando que el endurecimiento regular aún les da tiempo a los defensores.
La mayoría de estos errores dependen de características opcionales del kernel o valores predeterminados laxos, por lo que cortar el acceso de los usuarios sin privilegios (en este caso, el espacio de nombres del usuario) puede frustrar los exploits hasta que sean parcheados.
No hay informes públicos de explotación en la naturaleza ni actores de amenazas involucrados. El parche ha estado disponible desde febrero y el código de explotación está disponible desde abril.
Source link
