Una nueva vulnerabilidad de escalamiento de privilegios local recientemente
corregida en el módulo rxgk del kernel de Linux ahora cuenta con una
prueba de concepto que permite a los atacantes obtener acceso de root en
algunos sistemas Linux.
Esta falla de seguridad, denominada DirtyDecrypt y también conocida
como DirtyCBC, fue
descubierta y reportada de forma autónoma por el equipo de seguridad de
V12
a principios de este mes, cuando los responsables del proyecto les informaron
que se trataba de una vulnerabilidad duplicada que ya había sido corregida en
la rama principal.
«Encontramos y reportamos esta vulnerabilidad el 9 de mayo de 2026, pero
los responsables del proyecto nos informaron que era una vulnerabilidad
duplicada», declaró V12.
«Se trata de una escritura en la caché de páginas de rxgk debido a la falta
de protección COW en rxgk_decrypt_skb. Consulte poc.c para obtener más
detalles».
Aunque no existe un identificador CVE oficial asociado a esta vulnerabilidad,
según Will Dormann (analista principal de vulnerabilidades en Tharros), la
información de los investigadores de seguridad coincide con los detalles de
CVE-2026-31635, que se corrigió el 25 de abril.
Para explotar con éxito esta vulnerabilidad, es necesario ejecutar un kernel
de Linux con la
opción de configuración CONFIG_RXGK, que habilita la compatibilidad con la seguridad
RxGK
para el cliente y el transporte de red del Sistema de Archivos Andrew (AFS).
Esto limita la superficie de ataque a las distribuciones de Linux que siguen
de cerca las últimas versiones del kernel, como Fedora, Arch Linux y openSUSE
Tumbleweed. Sin embargo, la prueba de concepto de la vulnerabilidad V12 solo
se ha probado en Fedora y en el kernel principal de Linux.
DirtyDecrypt pertenece a la misma clase de vulnerabilidad que otras fallas de
escalada de privilegios de root reveladas en las últimas semanas, como
Dirty Frag,
Fragnesia
y
Copy Fail.
Se recomienda a los usuarios de Linux en distribuciones potencialmente
afectadas por DirtyDecrypt que instalen las últimas actualizaciones del
kernel lo antes posible.
Sin embargo, quienes no puedan actualizar sus dispositivos de inmediato deben
usar la misma solución que se utilizó para Dirty Frag (aunque esto también
afectará a las VPN IPsec y a los sistemas de archivos de red distribuidos
AFS).
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf;
rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
Estas revelaciones se producen tras informes recientes que indican que los
atacantes están explotando activamente la vulnerabilidad Copy Fail.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA)
añadió Copy Fail a su lista de vulnerabilidades explotadas
en ataques el 1 de mayo y ordenó a las agencias federales que protegieran sus
dispositivos Linux en un plazo de dos semanas, antes del 15 de mayo.
En abril, las
distribuciones de Linux lanzaron parches
para otra vulnerabilidad de escalamiento de privilegios de
root (conocida como Pack2TheRoot) en el demonio PackageKit, que había
pasado desapercibida durante casi 12 años.
Fuente:
BC