La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes fallas de seguridad reveladas recientemente que afectan a varias distribuciones de Linux a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de que fueron explotadas en la naturaleza.
Esta vulnerabilidad se rastrea como CVE-2026-31431 (puntuación CVSS: 7,8) y es un caso de una falla de escalada de privilegios locales (LPE) que podría permitir que un usuario local sin privilegios obtenga root. Theory y Xint también rastrean este defecto de nueve años como un error de copia. La solución ya está disponible para las versiones 6.18.22, 6.19.12 y 7.0 del kernel de Linux.
«El kernel de Linux tiene una vulnerabilidad en la transferencia no autorizada de recursos entre esferas que potencialmente podría permitir una escalada de privilegios», dijo CISA en su aviso.
En un artículo publicado a principios de esta semana, los investigadores dicen que la falla de la copia es el resultado de un error lógico en la plantilla de cifrado de autenticación del kernel de Linux, que permite a un atacante provocar de manera fácil y confiable una escalada de privilegios utilizando un exploit de 732 bytes basado en Python. Se introdujo a través de tres cambios benignos separados en el kernel de Linux en 2011, 2015 y 2017.
Esta vulnerabilidad de seguridad de alta gravedad afecta a las distribuciones de Linux enviadas después de 2017 y permite a los usuarios locales sin privilegios obtener acceso a nivel de raíz al corromper la página en memoria caché del kernel de archivos legibles que contienen binarios setuid. Esta corrupción podría ser ejecutada por un usuario sin privilegios y podría resultar en la ejecución de código con privilegios de root.
«El caché de la página representa una versión en memoria de un archivo ejecutable, por lo que cambiarlo efectivamente cambia el binario en tiempo de ejecución sin tocar el disco», dijo Wiz de Google. «Esto permite a un atacante inyectar código en archivos binarios privilegiados (como /usr/bin/su) y obtener privilegios de root».
La prevalencia de Linux en entornos de nube significa que esta vulnerabilidad tiene un impacto significativo. En su análisis de la falla, Kaspersky dijo que la falla de la copia representa un riesgo grave para los entornos en contenedores porque Docker, LXC y Kubernetes de forma predeterminada «dan a los procesos dentro de un contenedor acceso al subsistema AF_ALG si el módulo algif_aead está cargado en el kernel host».
«Si no se copia, se corre el riesgo de romper el aislamiento del contenedor y tomar el control de las máquinas físicas», dijo el proveedor de seguridad ruso. «Al mismo tiempo, la explotación no requiere el uso de técnicas complejas como condiciones de carrera o adivinación de direcciones de memoria, lo que reduce la barrera de entrada para posibles atacantes».
«Este exploit es difícil de detectar porque utiliza sólo llamadas legítimas al sistema y es difícil de distinguir del comportamiento normal de la aplicación».
La disponibilidad de una prueba de concepto (PoC) de exploit completamente funcional también aumenta la urgencia. Kaspersky dice que las versiones Go y Rust de la implementación original de Python ya se pueden encontrar en repositorios de código abierto.
CISA no proporcionó detalles sobre cómo se está explotando esta vulnerabilidad en la naturaleza. Sin embargo, el equipo de investigación de seguridad de Microsoft Defender dijo que ha «identificado actividad de prueba preliminar que muy probablemente dará como resultado una mayor explotación por parte de actores de amenazas en los próximos días».
«El vector de ataque es local (AV:L) y requiere privilegios bajos sin interacción del usuario, lo que significa que un usuario sin privilegios podría intentar explotarlo en un sistema vulnerable», añadió. «Es importante destacar que, si bien esta vulnerabilidad no se puede explotar de forma remota por sí sola, tiene un gran impacto cuando se combina con vectores de acceso iniciales como el acceso seguro al shell (SSH), la ejecución de trabajos de CI maliciosos y los puntos de apoyo de los contenedores».
El gigante tecnológico también detalla una ruta que podría tomar un atacante para explotar la vulnerabilidad.
Realice un reconocimiento para identificar hosts o contenedores de Linux que ejecutan versiones del kernel que son susceptibles a fallas de copia. Prepare un pequeño disparador de Python para usarlo en el punto final. Ejecute el exploit desde un contexto con pocos privilegios, ya sea como un usuario normal de Linux en el host o como un proceso contenedor comprometido sin capacidades especiales. El exploit realiza una sobrescritura controlada de 4 bytes en la caché de la página del kernel, lo que daña los datos confidenciales administrados por el kernel. El atacante escala el proceso a UID 0 y obtiene todos los privilegios de root.
Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen la solución antes del 15 de mayo de 2026, ya que las distribuciones de Linux afectadas están impulsando actualizaciones. Si no es posible aplicar parches de inmediato, se recomienda a las organizaciones que deshabiliten las funciones afectadas, implementen el aislamiento de la red y apliquen controles de acceso.
Source link
