Se ha descubierto una vulnerabilidad lógica de nueve años de antigüedad en la
ruta de rastreo de procesos (ptrace) del kernel de Linux que podría
permitir a usuarios locales sin privilegios leer archivos
confidenciales, incluidas las claves privadas de host de shell seguro (SSH) y
el hash de la contraseña del sistema, en instalaciones predeterminadas de
Debian, Fedora y Ubuntu.
Según
el análisis
de la Unidad de Investigación de Amenazas (TRU) de Qualys, la vulnerabilidad,
identificada como CVE-2026-46333, ha estado presente en la rama principal de
Linux desde noviembre de 2016. Hay parches disponibles y actualizaciones de
distribución, y circulan públicamente exploits funcionales.
Esta vulnerabilidad es el quinto problema de seguridad local del kernel de
Linux revelado en tres semanas, tras
Copy Fail,
Dirty Frag, Fragnesia y
DirtyCBC.
El error reside en la función __ptrace_may_access() del
kernel. Qualys identificó una ventana de tiempo limitada durante la
cual un proceso privilegiado que está descartando sus credenciales permanece
accesible mediante operaciones ptrace, incluso cuando su bandera de
volcado debería haber cerrado esa ruta.
Al combinar esta ventana con la llamada al sistema pidfd_getfd(), un
atacante puede capturar descriptores de archivo de un binario
setuid durante su salida y heredar su acceso a los archivos
subyacentes. pidfd_getfd() se añadió al kernel en enero de 2020,
lo que amplió el alcance práctico de la vulnerabilidad anterior.
La
prueba de concepto (PoC)
desarrollada por Qualys se dirige a ssh-keysign, un binario
setuid que mantiene abiertas brevemente las claves privadas del host
SSH durante la firma de autenticación. Una segunda variante se dirige a
chage, robando el identificador abierto de /etc/shadow y
exponiendo el hash de la contraseña de cada usuario en el host.
Qualys también desarrolló exploits funcionales contra pkexec y
accounts-daemon, pero no los hizo públicos durante el período de
divulgación coordinada. Saeed Abbasi afirmó que la técnica
«convierte cualquier shell local en una vía de acceso a root o a
información confidencial».
Los cuatro exploits desarrollados por Qualys abarcan diversos impactos.
Los exploits chage y ssh-keysign permiten la divulgación de
información, mientras que pkexec y accounts-daemon permiten al
atacante ejecutar comandos arbitrarios como root.
CVSS calificó el fallo con un 5.5, pero Qualys argumentó que la distinción
entre un acceso no privilegiado y el compromiso total del sistema se desvanece
en la práctica, ya que los archivos divulgados por sí solos son suficientes
para tomar el control del sistema.
El perfil de riesgo es más pronunciado en entornos donde las shells sin
privilegios están disponibles habitualmente para terceros no confiables, como
en alojamientos compartidos y ejecutores de CI multiusuario.
Los administradores deben aplicar la actualización del kernel del proveedor
para su distribución sin demora.
Como medida provisional, tanto Ubuntu como Qualys recomiendan aumentar el
valor de `kernel.yama.ptrace_scope` a 2 mediante `sysctl`, lo
que restringe la conexión de ptrace a CAP_SYS_PTRACE y bloquea
la ruta de explotación pública, aunque esto interrumpe los flujos de trabajo
de depuración sin privilegios.
Fuente:
InfoSecurity-Magazine