seguridad

    Nueva vulnerabilidad “Dirty Frag” permite obtener acceso root en Linux

    Autor: Carlos Monje   |   Publicado: 08/05/2026

    Investigadores de seguridad han revelado detalles sobre una nueva vulnerabilidad de escalamiento local de privilegios en el kernel Linux denominada Dirty Frag, una falla que podría permitir a usuarios locales obtener permisos de root en múltiples distribuciones GNU/Linux.

    El problema ha sido comparado con vulnerabilidades anteriores como:

    Anuncio

    debido a que pertenece a una clase similar de errores relacionados con la manipulación de memoria y caché de páginas dentro del kernel.

    ¿Qué es Dirty Frag?

    Un nuevo fallo crítico en el kernel Linux

    Dirty Frag es una vulnerabilidad que permite:

    • Escalamiento de privilegios locales
    • Acceso root desde cuentas sin privilegios
    • Manipulación de memoria del kernel

    El fallo combina dos vulnerabilidades diferentes:

    • xfrm-ESP Page-Cache Write
    • RxRPC Page-Cache Write

    Según el investigador Hyunwoo Kim, el problema es especialmente peligroso porque:

    Anuncio
    • No depende de condiciones de carrera (race conditions)
    • Tiene alta tasa de éxito
    • No provoca kernel panic cuando falla el exploit

    Distribuciones Linux afectadas

    Varias distribuciones importantes son vulnerables

    Las pruebas realizadas muestran impacto en sistemas como:

    • Ubuntu 24.04.4
    • Red Hat Enterprise Linux 10.1
    • Fedora 44
    • openSUSE Tumbleweed
    • AlmaLinux 10
    • CentOS Stream 10

    La lista podría ampliarse a cualquier distribución que utilice los módulos afectados.

    Cómo funciona el ataque

    Manipulación del Page Cache del kernel

    El exploit aprovecha errores dentro de:

    • Subsistemas IPSec (xfrm)
    • RxRPC

    para sobrescribir datos dentro del page cache del kernel Linux.

    El ataque permite:

    • Modificar memoria asociada a páginas compartidas
    • Corromper datos
    • Obtener privilegios elevados

    Diferencias respecto a Copy Fail y Dirty Pipe

    Más estable y más peligrosa

    Dirty Frag pertenece a la misma familia de errores que:

    • Dirty Pipe
    • Copy Fail

    pero presenta diferencias importantes:

    • Mayor estabilidad del exploit
    • Menor probabilidad de fallos
    • Funcionamiento más determinista

    Además:

    • Puede explotarse incluso si algunas mitigaciones anteriores ya fueron aplicadas.

    Problemas con módulos del kernel

    xfrm-ESP y RxRPC como vectores principales

    El exploit utiliza:

    • esp4
    • esp6
    • rxrpc

    Dependiendo de la distribución:

    • Algunos módulos vienen cargados por defecto
    • Otros requieren namespaces de usuario

    Por ejemplo:

    • Ubuntu bloquea ciertos namespaces mediante AppArmor
    • Pero carga rxrpc.ko por defecto

    Esto permite que el segundo método siga funcionando.

    Riesgo elevado por exploit público

    Ya existe una prueba de concepto funcional

    La situación es especialmente preocupante porque:

    • Ya circula un exploit PoC funcional
    • El ataque puede ejecutarse con un solo comando
    • Aún no existe parche oficial global

    Esto aumenta considerablemente el riesgo de explotación real.

    Mitigaciones temporales recomendadas

    Deshabilitar módulos vulnerables

    Mientras llegan los parches oficiales, los investigadores recomiendan bloquear los módulos afectados mediante:

     
    sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
     

    Esta mitigación:

    • Impide cargar módulos vulnerables
    • Reduce la superficie de ataque

    El problema lleva años en el kernel

    Código vulnerable desde 2017

    Los investigadores indican que:

    • Parte del código vulnerable existe desde enero de 2017
    • Otra parte fue introducida en 2023

    Curiosamente, uno de esos commits también estuvo relacionado con:

    • CVE-2022-27666

    una vulnerabilidad previa de desbordamiento de búfer en Linux.

    Impacto en servidores y entornos empresariales

    Un riesgo importante para infraestructura Linux

    Dirty Frag representa un riesgo importante porque:

    • Afecta servidores Linux modernos
    • Puede utilizarse para comprometer sistemas corporativos
    • Permite elevar privilegios rápidamente

    Especialmente en:

    • Entornos cloud
    • Servidores empresariales
    • Infraestructura multiusuario

    En resumen

    La aparición de Dirty Frag demuestra nuevamente cómo vulnerabilidades de bajo nivel en el kernel Linux pueden convertirse en amenazas críticas para millones de sistemas.

    La combinación de:

    • Exploit público
    • Alta tasa de éxito
    • Escalamiento root
    • Amplio impacto en distribuciones

    convierte esta falla en una de las vulnerabilidades Linux más preocupantes de 2026 hasta el momento.

    Hasta que existan parches definitivos, se recomienda:

    • Actualizar constantemente
    • Aplicar mitigaciones temporales
    • Monitorizar actividad sospechosa
    • Restringir módulos innecesarios del kernel.
    Anuncio
    Visto: 203

    También te puede interesar


    Curso de Linux Gratis

    Curso de Linux Gratis

    Últimas noticias

    Please publish modules in offcanvas position.