
Una falla del kernel de Linux recientemente revelada conocida como Bad Epoll (CVE-2026-46242) permite a usuarios comunes sin permisos especiales obtener control completo de una máquina como root. Este problema afecta a los escritorios, servidores y Android de Linux, y hay una solución disponible.
Bad Epoll reside dentro del mismo pequeño fragmento de código del kernel en el que el modelo de IA más poderoso de Anthropic, Mythos, descubrió recientemente otro error.
La IA encontró un defecto, pero no lo detectó. El investigador Jeyoung Chung lo descubrió y construyó un ataque funcional.
Cómo funcionan los errores
Epoll es una característica estándar de Linux que permite a los programas monitorear una gran cantidad de archivos y conexiones de red a la vez. Los servidores, los servicios de red y los navegadores web dependen de ello. No puedes simplemente desconectarte.
Bad Epoll es un error de «uso después de la liberación». Dos partes del kernel intentan limpiar el mismo objeto interno al mismo tiempo. Uno libera la memoria y el otro continúa escribiendo en la memoria. Esta breve colisión permite al atacante corromper la memoria del kernel y pasar de una cuenta normal a root.
El problema es el tiempo. La ventana en la que chocan los dos caminos tiene sólo seis instrucciones de máquina de ancho, por lo que es poco probable que un intento aleatorio alcance esta ventana. El exploit de Chung aumenta esa ventana, lo reintenta sin fallar y alcanza la raíz aproximadamente el 99% de las veces en los sistemas probados.
Dos cosas hacen que este ataque sea más peligroso. Por un lado, su cuenta podría lanzar este ataque desde el entorno limitado de renderizado de Chrome, que bloquea casi todos los demás errores del kernel, y podría llegar a Android, donde la mayoría de los errores privilegiados de Linux no pueden llegar.
Chung ha presentado esta falla como de día cero al programa kernelCTF de Google, y los detalles técnicos completos se pueden encontrar en su documentación pública. No hay evidencia de que haya sido utilizado en un ataque real. Al momento de escribir este artículo, no está en la lista de vulnerabilidades conocidas explotadas de CISA y el único código que funciona es la prueba de concepto kernelCTF. La versión para Android del exploit aún está en progreso.
Ambos errores se remontan a un único cambio en 2023 en el código epoll. Según Chung, Mythos descubrió el primero de los dos, actualmente rastreado como CVE-2026-43074, y se espera que se publique una solución a principios de 2026.
Anthropic ha dicho por separado que Mythos descubrió un error de escalada de privilegios en el kernel de Linux, pero no ha revelado ninguna conexión entre ese trabajo y Bad Epoll. Los errores en las condiciones de carrera son muy difíciles de encontrar, por lo que encontrar el primero fue un verdadero logro.

Entonces, ¿por qué la misma IA pasó por alto el defecto de su hermano? Chung cita dos posibles razones, pero tiene cuidado de decir que nadie puede estar seguro.
En primer lugar, la ventana de tiempo es pequeña, por lo que es difícil visualizar la secuencia exacta de eventos incluso cuando estás mirando el código. En segundo lugar, hay poca evidencia de tiempo de ejecución.
Una vez que se corrige el error inicial, los errores de memoria Bad Epoll generalmente no activan KASAN, el detector de errores principal del kernel, por lo que no hay indicación de que algo esté mal.
Epoll no se puede desactivar, por lo que no existe ninguna solución. Aplique la confirmación a6dc643c6931 o instale backports una vez que llegue su distribución. Los kernels creados con 6.4 o posterior se ven afectados a menos que ya se haya aplicado la solución.
Los kernels más antiguos basados en 6.1, incluidos algunos teléfonos inteligentes Android como el Pixel 8, no lo son debido a un error introducido en 6.4.
Mal año para el kernel de Linux
Bad Epoll se une a la familia de errores de kernel conocidos que se utilizan para rootear Android, siguiendo las entradas anteriores llamadas Bad Binder, Bad IO_uring y Bad Spin.
Las fallas en los privilegios de Linux también han tenido un impacto significativo, pero la mayoría de los más nuevos se comportan de manera diferente. Copy Failure (CVE-2026-31431) ocurrió en abril y actualmente se encuentra en la lista de vulnerabilidades conocidas y explotadas de CISA. Le siguieron la cadena Dirty Frag, Fragnesia, DirtyClone y pedit COW.
Ambos son errores deterministas de escritura de caché de página, como Dirty Pipe (2022), donde no hay competencia para ganar, por lo que la ejecución es mucho más confiable. Bad Epoll es una variedad antigua y difícil, una carrera que hay que ganar como Dirty Cow (2016).
También hay una prueba pública de concepto para CVE-2026-31694, otra falla en el código del sistema de archivos FUSE del kernel descubierta por la firma de investigación Bynario, impulsada por IA. Un usuario local con acceso a FUSE podría introducir un sistema de archivos malicioso y memoria dañada en el kernel.
Dependiendo de su configuración, esto puede provocar acceso de root, fugas de datos y fallas. Este acceso es más común en espacios de nombres de usuarios y contenedores, por lo que es más un riesgo para el servidor y el contenedor que un riesgo para el teléfono.
No se trata sólo de binarios. Mythos también descubrió y explotó un error de ejecución remota de código de 17 años (CVE-2026-4747) en el servidor NFS de FreeBSD, y los investigadores de Anthropic utilizaron su modelo para descubrir otros defectos del kernel.
Bad Epoll es un contrapunto útil. Esto demuestra que las condiciones de carrera son difíciles en cada etapa. Incluso las IA más importantes son difíciles de encontrar. Fue difícil solucionarlo porque el primer parche era inadecuado y se necesitaron unos dos meses para crear el parche correcto. Es difícil explotar a través de una ventana que tiene sólo 6 instrucciones de ancho. Por ahora, los humanos todavía tienen que detectar los errores por los que pasa la IA.
Source link
