Se ha publicado un código de explotación de prueba de concepto (PoC) que podría permitir una escalada de privilegios local (LPE) para una falla de seguridad en el kernel de Linux recientemente parcheado.
La vulnerabilidad, conocida como DirtyDecrypt (también conocida como DirtyCBC), fue descubierta e informada por Zellic y el equipo de seguridad de V12 el 9 de mayo de 2026, pero el responsable del mantenimiento le informó que era un clon de una vulnerabilidad que ya había sido parcheada en la línea principal.
«Esta es una escritura de caché de página rxgk debido a que falta un protector COW (copia en escritura) en rxgk_decrypt_skb», dijo el cofundador de Zellic, Luna Tong (también conocido como cts y gf_256), en una descripción compartida en GitHub.
Aunque el identificador CVE no se divulga, la vulnerabilidad en cuestión es CVE-2026-31635 (puntuación CVSS: 7,5), basándose en el hecho de que el registro CVE en la base de datos nacional de vulnerabilidades (NVD) del NIST contiene un enlace al PoC de DirtyDecrypt.
«La falla particular está en rxgk_decrypt_skb(), la función que descifra el sk_buff (búfer de socket) entrante en el lado del receptor», dijo Moselwal.
«En esta ruta de código, el kernel procesa una página de memoria que está parcialmente compartida con el caché de la página de otro proceso. Esta es una optimización normal de Linux protegida por copia en escritura. Tan pronto como ocurre una escritura en una página compartida, se crea una copia privada de antemano para garantizar que la escritura no afecte los datos de otro proceso».
La ausencia de esta protección COW en rxgk_decrypt_skb significa que los datos se escriben en la memoria de un proceso privilegiado o, dependiendo de la ruta del exploit, en la página caché de archivos privilegiados (etc/shadow, /etc/sudoers, binarios SUID, etc.), lo que lleva a una escalada de privilegios local.
DirtyDecrypt solo afecta a distribuciones con CONFIG_RXGK habilitado, como Fedora, Arch Linux y openSUSE Tumbleweed. En un entorno en contenedores, los nodos trabajadores que ejecutan versiones vulnerables de Linux pueden proporcionar una ruta para escapar del pod.
Según Zellic, se ha evaluado que esta vulnerabilidad es una variante de Copy Fail (CVE-2026-31431), Dirty Frag también conocido como Copy Fail 2 (CVE-2026-43284 y CVE-2026-43500) y Fragnesia (CVE-2026-46300), todos los cuales requieren acceso raíz a un sistema vulnerable. Permitir el acceso.
Copy Fail, una falla de escalada de privilegios local en la interfaz de socket cifrado AF_ALG, fue revelada por investigadores de Theori el 29 de abril de 2026. Una semana después siguió una bandera sucia. Dirty Frag extiende Copy Fail con primitivas de escritura de caché de dos páginas.
Sin embargo, el parche integrado del 5 de mayo para CVE-2026-43284 provocó que otro investigador que desconocía el embargo analizara los detalles de la falla y lo publicara de forma independiente, lo que obligó al investigador de seguridad Hyun Woo Kim a seguir adelante con la publicación ya que el embargo acordado expiró prematuramente.
«Leí la confirmación, reconocí la ruta xfrm ESP-in-UDP MSG_SPLICE_PAGES no-COW a la página de tuberías compartidas como una primitiva LPE y construí una PoC», dijo el investigador, que utiliza los alias en línea 0xdeadbeefnetwork y afflicted.sh. «Este trabajo es un armamento de n días a partir de compromisos públicos ascendentes, y esto se convierte en una práctica estándar una vez que se agregan correcciones relacionadas con la seguridad al árbol público».
Fragnesia es otra variante de Dirty Frag que afecta al subsistema XFRM ESP-in-TCP. Pero el resultado es el mismo. Permite a un atacante local sin privilegios modificar el contenido de archivos de solo lectura en la caché de la página del kernel y obtener privilegios de root.
Este desarrollo coincide con el descubrimiento de una falla LPE en el demonio PackageKit de Linux (CVE-2026-41651 también conocido como Pack2TheRoot, puntuación CVSS: 8,8) y una falla inadecuada en la gestión de privilegios en el kernel que permite la lectura por parte de usuarios locales sin privilegios (CVE-2026-46333 también conocido como ssh-keysign-pwn, puntuación CVSS: 5,5). Secretos de propiedad raíz, como claves privadas SSH.
Varias distribuciones de Linux han publicado avisos sobre CVE-2026-46333 –
¿Interruptor de apagado del kernel?
Una avalancha de nueva información ha salido a la luz en las últimas semanas, lo que llevó a los desarrolladores del kernel de Linux a considerar proponer un «interruptor de apagado» de emergencia que permitiría a los administradores desactivar las características vulnerables del kernel en tiempo de ejecución hasta que esté disponible un parche para una vulnerabilidad de día cero.
Según una propuesta presentada por el desarrollador y mantenedor del kernel de Linux, Sasha Levin, «Killswitch permite a los operadores privilegiados hacer que funciones seleccionadas del kernel devuelvan un valor fijo sin ejecutar sus cuerpos, como mitigación temporal de un error de seguridad mientras se prepara una solución real».
«La función devuelve el valor especificado por el operador y no se ejecuta nada en su lugar. No hay lista de permitidos ni verificación de tipo del valor de retorno. Una vez que la capa kprobe acepta el símbolo, killswitch lo activa. Una vez activado, el cambio permanece en efecto en todas las CPU hasta que se escribe una «desconexión» o se reinicia el sistema.
Rocky Linux estrena repositorio de seguridad
Rocky Linux introdujo un repositorio de seguridad opcional. Esto permite que las distribuciones proporcionen rápidamente soluciones de seguridad de emergencia, especialmente en escenarios donde las vulnerabilidades críticas se hacen públicas antes de que llegue una solución ascendente personalizada.
«Los repositorios están deshabilitados de forma predeterminada. Esto es por diseño», dijeron los encargados del mantenimiento. «La experiencia predeterminada de Rocky Linux es exactamente la que siempre ha sido: predecible, estable y totalmente compatible con las versiones anteriores. Los administradores que deseen acceder a correcciones aceleradas pueden optar por participar cuando lo deseen».
Los repositorios de seguridad abordan específicamente casos «específicos y restringidos» en los que se divulga públicamente una vulnerabilidad crítica, existe un código de explotación y aún no hay un parche disponible. Rocky Linux enfatiza que esto no reemplaza el proceso de lanzamiento normal.
«Si impulsamos una solución y el desarrollador decide no solucionarlo, la próxima versión del kernel reemplazará la versión parcheada», agregó el responsable. «Para los usuarios que no han bloqueado la versión de sus kernels, nuestras correcciones ya no se aplicarán en ese momento. Esa es la compensación que aceptamos al crear esto».
Source link
