Se ha descubierto una vulnerabilidad lógica de nueve años de antigüedad en la ruta de rastreo de procesos (ptrace) del kernel de Linux que podría permitir a usuarios locales sin privilegios leer archivos confidenciales, incluidas las claves privadas de host de shell seguro (SSH) y el hash de la contraseña del sistema, en instalaciones predeterminadas de Debian, Fedora y Ubuntu.
Según el análisis de la Unidad de Investigación de Amenazas (TRU) de Qualys, la vulnerabilidad, identificada como CVE-2026-46333, ha estado presente en la rama principal de Linux desde noviembre de 2016. Hay parches disponibles y actualizaciones de distribución, y circulan públicamente exploits funcionales.
Esta vulnerabilidad es el quinto problema de seguridad local del kernel de Linux revelado en tres semanas, tras Copy Fail, Dirty Frag, Fragnesia y DirtyCBC.
El error reside en la función __ptrace_may_access() del kernel. Qualys identificó una ventana de tiempo limitada durante la cual un proceso privilegiado que está descartando sus credenciales permanece accesible mediante operaciones ptrace, incluso cuando su bandera de volcado debería haber cerrado esa ruta.
Al combinar esta ventana con la llamada al sistema pidfd_getfd(), un atacante puede capturar descriptores de archivo de un binario setuid durante su salida y heredar su acceso a los archivos subyacentes. pidfd_getfd() se añadió al kernel en enero de 2020, lo que amplió el alcance práctico de la vulnerabilidad anterior.
La prueba de concepto (PoC) desarrollada por Qualys se dirige a ssh-keysign, un binario setuid que mantiene abiertas brevemente las claves privadas del host SSH durante la firma de autenticación. Una segunda variante se dirige a chage, robando el identificador abierto de /etc/shadow y exponiendo el hash de la contraseña de cada usuario en el host.
Qualys también desarrolló exploits funcionales contra pkexec y accounts-daemon, pero no los hizo públicos durante el período de divulgación coordinada. Saeed Abbasi afirmó que la técnica «convierte cualquier shell local en una vía de acceso a root o a información confidencial».
Los cuatro exploits desarrollados por Qualys abarcan diversos impactos. Los exploits chage y ssh-keysign permiten la divulgación de información, mientras que pkexec y accounts-daemon permiten al atacante ejecutar comandos arbitrarios como root.
CVSS calificó el fallo con un 5.5, pero Qualys argumentó que la distinción entre un acceso no privilegiado y el compromiso total del sistema se desvanece en la práctica, ya que los archivos divulgados por sí solos son suficientes para tomar el control del sistema.
El perfil de riesgo es más pronunciado en entornos donde las shells sin privilegios están disponibles habitualmente para terceros no confiables, como en alojamientos compartidos y ejecutores de CI multiusuario.
Los administradores deben aplicar la actualización del kernel del proveedor para su distribución sin demora. Como medida provisional, tanto Ubuntu como Qualys recomiendan aumentar el valor de `kernel.yama.ptrace_scope` a 2 mediante `sysctl`, lo que restringe la conexión de ptrace a CAP_SYS_PTRACE y bloquea la ruta de explotación pública, aunque esto interrumpe los flujos de trabajo de depuración sin privilegios.
Fuente y redacción: segu-info.com.ar