Han surgido detalles sobre una nueva vulnerabilidad de escalada de privilegios locales (LPE) sin parches que afecta al kernel de Linux.
Apodado Fragmento sucioHa sido descrito como sucesor de Copia fallida (CVE-2026-31431, puntuación CVSS: 7,8), una falla de LPE revelada recientemente que afecta al kernel de Linux y que desde entonces ha estado bajo explotación activa en la naturaleza. La vulnerabilidad se informó a los mantenedores del kernel de Linux el 30 de abril de 2026.
«Dirty Frag es una vulnerabilidad (clase) que logra privilegios de root en la mayoría de las distribuciones de Linux al encadenar la vulnerabilidad xfrm-ESP Page-Cache Write y la vulnerabilidad RxRPC Page-Cache Write», dijo el investigador de seguridad Hyunwoo Kim (@v4bel) en un artículo.
«Dirty Frag es un caso que extiende la clase de error a la que Tubería sucia y Copia fallida pertenecer. Debido a que es un error lógico determinista que no depende de una ventana de tiempo, no se requiere ninguna condición de carrera, el núcleo no entra en pánico cuando falla el exploit y la tasa de éxito es muy alta».
La explotación exitosa de la falla podría permitir a un usuario local sin privilegios obtener acceso raíz elevado en la mayoría de las distribuciones de Linux, incluidas Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 y Fedora 44.
Según el investigador, la vulnerabilidad xfrm-ESP Page-Cache Write se introdujo en un confirmación del código fuente realizado en enero de 2017, mientras que la vulnerabilidad RxRPC Page-Cache Write fue introducido en junio de 2023. Curiosamente, la misma confirmación del 17 de enero de 2017 fue la causa principal de otro desbordamiento del búfer (CVE-2022-27666puntuación CVSS: 7,8) que afectó a varias distribuciones de Linux.
xfrm-ESP Page-Cache Write, que tiene su raíz en el subsistema IPSec (xfrm), proporciona a los atacantes una primitiva de almacenamiento de 4 bytes como Copy Fail y sobrescribe una pequeña cantidad en la caché de páginas del kernel.
Sin embargo, el exploit requiere que el usuario sin privilegios cree un espacio de nombres, un paso que Ubuntu bloquea a través de Armadura de aplicaciones. En tal entorno, no se puede activar xfrm-ESP Page-Cache Write. Ahí es donde entra en juego el segundo exploit, RxRPC Page-Cache Write.
«RxRPC Page-Cache Write no requiere privilegios para crear un espacio de nombres, pero el módulo rxrpc.ko en sí no está incluido en la mayoría de las distribuciones», explicó Kim. «Por ejemplo, la compilación predeterminada de RHEL 10.1 no incluye rxrpc.ko. Sin embargo, en Ubuntu, el módulo rxrpc.ko se carga de forma predeterminada».
«Encadenar las dos variantes hace que los puntos ciegos se cubran entre sí. En un entorno donde se permite la creación de espacios de nombres de usuario, el exploit ESP se ejecuta primero. Por el contrario, en Ubuntu, donde la creación de espacios de nombres de usuarios está bloqueada pero se construye rxrpc.ko, el exploit RxRPC funciona».
CloudLinx, en un consultivo Por sí solo, dijo que la falla reside en la «ruta rápida ESP-in-UDP MSG_SPLICE_PAGES sin COW y es accesible a través de la interfaz netlink del usuario XFRM».
«El error reside en las rutas rápidas de descifrado in situ de esp4, esp6 y rxrpc: cuando un búfer de socket transporta fragmentos paginados que no son propiedad privada del kernel (por ejemplo, páginas de canalización adjuntas mediante splice(2)/sendfile(2)/MSG_SPLICE_PAGES), la ruta de recepción se descifra directamente sobre esas páginas respaldadas externamente, exponiendo o corrompiendo el texto sin formato al que un proceso sin privilegios todavía tiene una referencia». AlmaLinux dicho.
A la urgencia se suma el lanzamiento de una prueba de concepto (PoC) funcional que puede explotarse para obtener root con un solo comando. Hasta que los parches estén disponibles, se recomienda bloquear los módulos esp4, esp6 y rxrpc para que no se puedan cargar.
sudo sh -c «printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true»
Vale la pena mencionar aquí que Dirty Frag, a pesar de compartir algunas superposiciones con Copy Fail, puede ser explotado independientemente de si el módulo algif_aead del kernel de Linux está habilitado o no.
«Tenga en cuenta que Dirty Frag se puede activar independientemente de si el módulo algif_aead está disponible», dijo el investigador. «En otras palabras, incluso en sistemas donde se aplica la mitigación públicamente conocida de Copy Fail (lista negra algif_aead), su Linux sigue siendo vulnerable a Dirty Frag».
Fuente