GhostLock: vulnerabilidad del kernel de Linux con 15 años de antigüedad con exploit activo ~ Segu-Info

Investigadores de
Nebula Security han revelado GhostLock
(CVE-2026-43499), una vulnerabilidad del kernel de Linux con 15 años de antigüedad que
permite a cualquier usuario conectado obtener el control total de una máquina
sin parchear.

El código vulnerable se ha incluido por defecto en prácticamente todas las
distribuciones principales desde 2011. La vulnerabilidad no requiere permisos
especiales, configuraciones inusuales ni acceso a la red; basta con llamadas a
subprocesos desde cualquier programa local.

Nebula la convirtió en un exploit funcional con acceso de
administrador, con una fiabilidad del 97% en sus pruebas, que además escapa de
los contenedores. Google les otorgó 92.337 dólares a través de su programa de
recompensas por errores
kernelCTF.

Aunque no se tiene constancia de que nadie la esté explotando activamente,
Nebula ha publicado el
código del exploit, por lo que cualquiera puede ejecutarlo.
La prioridad es aplicar los parches.

Cómo funciona la vulnerabilidad

El kernel cuenta con un sistema para evitar que una tarea urgente se
quede bloqueada tras una tarea trivial. Parte del proceso consiste en una
limpieza que finaliza una tarea una vez que deja de esperar.

Normalmente, esto funciona correctamente. Sin embargo, en un caso excepcional,
cuando una operación de bloqueo se estanca y debe revertirse, la limpieza se
ejecuta en el momento equivocado y borra el registro de la tarea incorrecta.

Este error deja al kernel con una «nota» que apunta a un fragmento de memoria
que ya ha descartado y reutilizado. Confiar en ese puntero obsoleto es el
origen del fallo, un tipo de error conocido como uso de memoria liberada. A
partir de ahí, el equipo de Nebula encadenó varios pasos ingeniosos para
convertir ese pequeño error en control total, logrando finalmente engañar al
kernel para que ejecutara su propio código como el usuario «root». En
su máquina de prueba, esto tardó unos cinco segundos.

La vulnerabilidad ha estado presente en Linux desde 2011 y se corrigió en
abril. Las distribuciones ya están implementando el parche (3bfdc63936dd). Afecta a casi todas las versiones de Linux y tiene una puntuación de 7.8
sobre 10 (alta, no crítica) porque el atacante necesita estar previamente
conectado a la máquina. Nebula la descubrió con
VEGA, su
herramienta de búsqueda de errores basada en IA.

Qué hacer

Instala el kernel actual de tu distribución, no solo la primera versión
parcheada. La corrección original introdujo un error de bloqueo independiente
(CVE-2026-53166), y la solución para este error aún se estaba implementando a
principios de julio, por lo que las primeras versiones podrían no incluir la
versión final.

No existe una solución definitiva, ya que las operaciones que la desencadenan
son rutinarias para cualquier proceso local.

La disponibilidad es irregular hasta el momento. Ubuntu, por ejemplo, había
parcheado su última versión y algunos kernels en la nube, pero a
principios de julio aún mostraba las versiones 24.04, 22.04 y 20.04 LTS como
vulnerables o en proceso de parcheo. Consulta el aviso de tu distribución y
confirma la versión del paquete corregido en lugar de asumir que hay una
disponible.

Dos opciones de compilación, RANDOMIZE_KSTACK_OFFSET y
STATIC_USERMODE_HELPER, dificultan este exploit, pero son
medidas de mitigación, no correcciones. Aplica el parche primero a las
máquinas compartidas y multiusuario, servidores en la nube, contenedores y
ejecutores de CI, donde es más probable que un atacante encuentre la
vulnerabilidad que necesita.

GhostLock no es el único fallo de kernel a root este año. Se suma a una
serie de fallos de escalamiento de privilegios en Linux de 2026, varios de los
cuales comparten un detalle: fueron detectados por una herramienta
automatizada.

VEGA detectó GhostLock. Días antes, los investigadores revelaron
Bad Epoll
(CVE-2026-46242), una vulnerabilidad similar que también convierte a un
usuario sin privilegios en root. Se demostró su funcionamiento mediante
kernelCTF y, a diferencia de otros tipos de fallos, funciona en Android.

Bad Epoll se encuentra en el mismo segmento de código donde se atribuyó una
vulnerabilidad similar al modelo Mythos de Anthropic. Lo que comparten es una
maquinaria del kernel antigua y muy utilizada que pocos habían revisado en
años, hasta que las herramientas automatizadas comenzaron a combinarla. La
herencia de prioridad de Futex data de 2011. Esta clase de vulnerabilidades no
es teórica: otro fallo de 2026, Copy Fail (CVE-2026-31431), ya figura en la
lista de vulnerabilidades de CISA detectadas en ataques reales.

GhostLock es también la segunda parte de una cadena que Nebula denomina
IonStack. La primera parte, CVE-2026-10702, es un fallo de Firefox que ejecuta código
dentro del navegador y escapa de su entorno aislado. GhostLock completa el
proceso hasta obtener acceso root.

Nebula ya ha demostrado la cadena completa, desde un simple clic en un enlace
malicioso hasta el control total, contra Firefox en Android. Por eso, un fallo
del kernel que solo afecta al entorno local sigue siendo relevante: por sí
solo, necesita un punto de acceso, pero combinado con una vulnerabilidad del
navegador, se convierte en una intrusión remota. Nebula anuncia que
próximamente publicará un informe completo sobre la vulnerabilidad en Android.

Fuente:
THN


Ver fuente

Related Post