
Los investigadores de Nebula Security han revelado GhostLock (CVE-2026-43499), una falla del kernel de Linux de 15 años. Esto permite al usuario que ha iniciado sesión obtener control total de raíz de la máquina sin parchear.
Este código vulnerable se ha incluido de forma predeterminada en prácticamente todas las distribuciones principales desde 2011. Esta falla no requiere ningún permiso especial, configuración inusual o acceso a la red. Una llamada de hilo normal desde un programa local es suficiente.
Nebula ha convertido esto en un exploit de raíz funcional que es 97 % confiable en las pruebas e incluso puede escapar de contenedores. Google también dijo que otorgó al equipo 92.337 dólares a través de su programa de recompensas por errores kernelCTF.
Aunque no se sabe que nadie haya explotado esto, Nebula ha publicado un código de explotación funcional para que cualquiera pueda ejecutarlo. La aplicación de parches es una prioridad absoluta.
Cómo funcionan los errores
El kernel tiene un sistema que evita que las tareas urgentes se oculten detrás de otras triviales. Parte de esto es un paso de limpieza que limpia las tareas después de que dejan de esperar.
Normalmente esto funciona bien. Sin embargo, hay casos raros en los que una operación de bloqueo se atasca y debe deshacerse, lo que provoca que la limpieza se realice en el momento equivocado y se borre el registro de la tarea equivocada.
Este error deja al núcleo conteniendo «notas» que apuntan a fragmentos de memoria que ya han sido descartados y reutilizados. Confiar en ese puntero obsoleto es todo el error, un tipo de error conocido como uso después de la liberación. A partir de ahí, el equipo de Nebula encadenó varios pasos inteligentes para obtener un control total sobre ese pequeño error y, en última instancia, engañar al kernel para que ejecutara su propio código como el todopoderoso usuario «root». En su máquina de prueba, tardó unos 5 segundos.

Esta falla ha estado presente en Linux desde 2011, se solucionó en abril y ahora hay un parche (3bfdc63936dd) disponible en la distribución. Tiene una puntuación de 7,8 sobre 10 (alta, no crítica) porque afecta a casi todas las compilaciones de Linux y requiere que el atacante inicie sesión en la máquina. Nebula lo descubrió utilizando la herramienta de búsqueda de errores VEGA, impulsada por IA.
que hacer
Instale el kernel actual de la distribución, no solo la versión parcheada inicialmente. La solución original introdujo otro error de bloqueo (CVE-2026-53166) cuya limpieza aún se estaba resolviendo a principios de julio, por lo que es posible que las primeras compilaciones no incluyan la versión final.
No existe una solución completa porque las operaciones que causan este problema son rutinarias para los procesos locales.
Hasta ahora, la disponibilidad ha sido desigual. Por ejemplo, Ubuntu ha parcheado sus últimas versiones y algunos kernels en la nube, pero a principios de julio todavía incluye 24.04, 22.04 y 20.04 LTS como vulnerables o en progreso. Consulte los avisos de su distribución y verifique la versión del paquete de reparación que está esperando en lugar de asumir.
Dos opciones de compilación, RANDOMIZE_KSTACK_OFFSET y STATIC_USERMODE_HELPER, dificultan este exploit, pero son mitigaciones, no soluciones. Comience parcheando máquinas compartidas y multiinquilino, servidores en la nube, contenedores y ejecutores de CI. Aquí es donde un atacante probablemente encontraría la base local necesaria para este error.
Este no es el único error de kernel a raíz este año
GhostLock se une a la lista de errores de escalada de privilegios de Linux de 2026, sobre algunos de los cuales compartimos detalles. Esto se debe a que las herramientas automatizadas los descubrieron.
VEGA descubrió GhostLock. Hace unos días, los investigadores revelaron Bad Epoll (CVE-2026-46242), un primo cercano que también convierte a los usuarios sin privilegios en root. Esto lo demuestra kernelCTF y funciona en Android, lo cual es inusual para esta clase de errores.
Bad Epoll reside en la misma sección de código que se sabe que tiene fallas relacionadas con el modelo Mythos de Anthropic. Lo que comparten es un mecanismo de kernel antiguo y de uso frecuente que pocas personas revisaron durante años hasta que las herramientas automatizadas comenzaron a examinarlo. La sucesión de prioridades de Futex se remonta a 2011. Esta clase no es teórica. Otro error de 2026, Copy Failure (CVE-2026-31431), ya está en la lista de vulnerabilidades CISA observadas en ataques del mundo real.
GhostLock es también la segunda mitad de una cadena que Nebula llama IonStack. La primera parte, CVE-2026-10702, es una falla de Firefox que ejecuta código dentro del navegador y evita la zona de pruebas. GhostLock lleva el resto de la ruta hasta la raíz.
Nebula ya ha demostrado la cadena completa, desde un solo toque hasta el control total de un enlace malicioso para Firefox en Android. Esta es la razón por la que los errores del kernel «sólo localmente» siguen siendo importantes. Por sí solo, requiere un punto de apoyo, pero cuando se incorpora a un exploit del navegador, se convierte en un compromiso remoto. Según Nebula, a continuación se publicará un artículo completo sobre el exploit de Android.
Source link
