Investigadores de ciberseguridad han revelado detalles sobre una nueva vulnerabilidad de escalamiento local de privilegios (LPE) que afecta al kernel Linux. El fallo, bautizado como Dirty Frag, ya está generando preocupación debido a su alta tasa de éxito y a la existencia de una prueba de concepto funcional.

La vulnerabilidad ha sido descrita como una evolución de:

• Dirty Pipe
• Copy Fail (CVE-2026-31431)

dos fallos previos que también permitían obtener privilegios elevados dentro de sistemas Linux.

¿Qué es Dirty Frag?

Un fallo que permite acceso root local

Dirty Frag es una vulnerabilidad que permite a usuarios locales sin privilegios obtener permisos de root en numerosas distribuciones GNU/Linux.

El exploit combina dos fallos:

• xfrm-ESP Page-Cache Write
• RxRPC Page-Cache Write

Según el investigador Hyunwoo Kim, la vulnerabilidad:

• no depende de race conditions
• tiene comportamiento determinista
• posee una alta tasa de éxito
• no provoca kernel panic cuando falla

Distribuciones Linux afectadas

Amplio impacto en sistemas modernos

Las pruebas realizadas muestran vulnerabilidad en sistemas como:

• Ubuntu 24.04.4
• Red Hat Enterprise Linux 10.1
• Fedora 44
• openSUSE Tumbleweed
• CentOS Stream 10
• AlmaLinux 10
• Amazon Linux

La lista podría ampliarse a otras distribuciones que utilicen los módulos afectados.

El fallo todavía no tiene identificador CVE

Divulgación adelantada del exploit

Actualmente, Dirty Frag aún no posee un identificador CVE oficial.

Esto ocurrió porque:

• información técnica detallada
• fragmentos del exploit
• documentación sobre xfrm-ESP

fueron publicados antes de finalizar el embargo de seguridad.

Cómo funciona el ataque

Manipulación del Page Cache del kernel

El exploit se basa en errores dentro del subsistema:

• IPSec (xfrm)
• RxRPC

El problema permite sobrescribir pequeñas porciones del page cache del kernel Linux.

Esto posibilita:

• modificar datos críticos
• corromper memoria
• elevar privilegios locales

El subsistema IPSec como vector de ataque

xfrm-ESP Page-Cache Write

El primer componente del ataque reside en:

• xfrm-ESP Page-Cache Write

relacionado con:

• IPSec
• cifrado ESP
• manejo de paquetes de red

El exploit requiere normalmente:

• creación de namespaces de usuario

Sin embargo:
Ubuntu bloquea parcialmente este mecanismo mediante AppArmor.

RxRPC permite evitar algunas protecciones

El segundo vector complementa el primero

Aquí entra en juego:

• RxRPC Page-Cache Write

Este segundo método:

• no necesita namespaces
• funciona especialmente bien en Ubuntu
• aprovecha el módulo rxrpc.ko

En Ubuntu:

• el módulo viene cargado por defecto

Mientras que en otras distros:

• puede no estar presente.

Combinación de exploits para aumentar compatibilidad

Dirty Frag cubre múltiples escenarios

Los investigadores explican que:

• ambos vectores se complementan

Por ejemplo:

• si namespaces están habilitados → funciona ESP
• si Ubuntu bloquea namespaces → funciona RxRPC

Esto amplía considerablemente el alcance del ataque.

Relación con vulnerabilidades anteriores

Un problema heredado desde 2017

Parte del código vulnerable fue introducido:

• en enero de 2017

Curiosamente:

• ese mismo commit ya había provocado anteriormente:
  • CVE-2022-27666

otro fallo crítico de Linux relacionado con desbordamientos de memoria.

Exploit público disponible

Ya existe una PoC funcional

La situación es especialmente delicada porque:

• ya circula una prueba de concepto (PoC)
• puede ejecutarse con un solo comando
• facilita la obtención de root rápidamente

Esto incrementa considerablemente el riesgo de explotación real.

Mitigación temporal recomendada

Deshabilitar módulos vulnerables

Mientras llegan los parches oficiales, se recomienda bloquear:

• esp4
• esp6
• rxrpc

mediante:

sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Esta medida:

• reduce la superficie de ataque
• evita cargar módulos vulnerables

Dirty Frag evita mitigaciones anteriores

Incluso sistemas protegidos siguen vulnerables

Los investigadores indican que Dirty Frag:

• puede explotarse incluso si el módulo algif_aead está deshabilitado

Esto significa que:

• algunas mitigaciones utilizadas contra Copy Fail
• no son suficientes frente a Dirty Frag.

Impacto en servidores y entornos empresariales

Riesgo crítico para infraestructura Linux

El problema es especialmente preocupante para:

• servidores Linux
• entornos cloud
• infraestructura corporativa
• sistemas multiusuario

porque permite:

• escalamiento rápido a root
• compromiso total del sistema
• potencial movimiento lateral dentro de redes empresariales.

Conclusión

Dirty Frag se perfila como una de las vulnerabilidades Linux más peligrosas de 2026 hasta el momento.

La combinación de:

• explotación sencilla
• alta tasa de éxito
• impacto masivo
• ausencia de parches definitivos

convierte este fallo en una amenaza importante para administradores y empresas que dependen de Linux.

Hasta que lleguen las actualizaciones oficiales, resulta fundamental:

• aplicar mitigaciones temporales
• monitorizar actividad sospechosa
• mantener sistemas actualizados
• restringir módulos innecesarios del kernel.