Vulnerabilidad de un solo carácter en el kernel de Linux permite el acceso de root

La vulnerabilidad, identificada como CVE-2026-23111, reside en el código de filtrado de paquetes nf_tables del kernel y fue corregida el 5 de febrero de 2026. Exodus Intelligence publicó su análisis técnico completo el 8 de junio, y cabe destacar que no es el primer exploit público: FuzzingLabs publicó una reproducción independiente en abril.

La vulnerabilidad se reduce a un solo carácter erróneo y una comprobación invertida en nf_tables, y la corrección implementada en el kernel la eliminó en una sola línea. Ubuntu califica la vulnerabilidad con CVSS 7.8 (alto).

La configuración vulnerables es común: nf_tables más espacios de nombres de usuario sin privilegios, una característica de Linux que permite que una cuenta ordinaria actúe como root dentro de un entorno aislado privado y acceda a código del kernel al que de otro modo no podría acceder.

Ambas características vienen incluidas por defecto en la mayoría de los equipos de escritorio y en muchas configuraciones de servidor. No existe un vector de ataque remoto por sí sola. Se trata de una vulnerabilidad que un atacante explota tras obtener acceso, convirtiendo una shell con pocos privilegios, un contenedor comprometido o una cuenta de servicio en root en el host.

Oliver Sieber, investigador de Exodus, quien descubrió la vulnerabilidad a principios de 2025, la convirtió en un root local completo. El exploit activa el uso de memoria liberada (use-after-free), elude las protecciones de memoria integradas del kernel y, posteriormente, toma el control de la ejecución para obtener root y salir del espacio de nombres del contenedor.

Lo demostró en Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS y Ubuntu 24.04 LTS. FuzzingLabs reprodujo el fallo en RHEL 10 antes de Pwn2Own Berlin 2026, creando su propio exploit de root por una ruta diferente. El cronograma es ajustado: la solución se publicó el 5 de febrero, FuzzingLabs publicó el 16 de abril y el informe detallado de Exodus se publicó el 8 de junio.

La técnica ahora está documentada en Debian, Ubuntu y Red Hat. Dado que el fallo se encuentra en la rama principal, cualquier distribución que haya distribuido un kernel vulnerable con ambas características habilitadas está expuesta, a menos que las medidas de seguridad o las restricciones de espacio de nombres de la distribución bloqueen el acceso.

CVE-2026-23111 se produce en medio de una intensa oleada de divulgaciones de vulnerabilidades de root local en Linux. En las últimas semanas han surgido Copy Fail, la cadena Dirty Frag, su variante Fragnesia, DirtyDecrypt y una vulnerabilidad de ptrace de nueve años de antigüedad que lee /etc/shadow y ejecuta comandos como root.

Difieren en los detalles, pero comparten la característica que debería preocupar a los expertos en seguridad: un punto de acceso sin privilegios se convierte en root en instalaciones normales.

El error solo afecta al sistema local y requiere espacios de nombres de usuario sin privilegios, por lo que conviene centrarse primero en los sistemas que permiten que usuarios o cargas de trabajo no confiables los creen.

Ubuntu tiene correcciones para las versiones 22.04, 24.04 y 25.10, y Debian corrigió Bookworm y Trixie, con una retrocompatibilidad para Bullseye LTS 6.1. Red Hat, SUSE y Amazon Linux también monitorean la vulnerabilidad; consulte el aviso de su distribución para obtener el paquete del kernel correspondiente, ya que la versión corregida exacta varía. La corrección original consistió en una sola línea de código.

Hay un panorama más amplio. En un análisis reciente del aumento de vulnerabilidades LPE, Synacktiv vincula la rapidez de este aumento con la investigación asistida por IA y la comparación de parches, que permite la propagación de exploits funcionales antes de que se difundan las correcciones. Además, argumenta que el endurecimiento habitual de los sistemas sigue dando tiempo a los defensores.

La mayoría de estas vulnerabilidades se basan en funciones opcionales del kernel o configuraciones predeterminadas poco estrictas, por lo que restringir el acceso de usuarios sin privilegios (en este caso, los espacios de nombres de usuario) retrasa la explotación hasta que se implemente el parche.

No existen informes públicos de explotación en la práctica, ni se ha vinculado a ningún actor malicioso con ella. El parche se publicó en febrero, y el código del exploit es público desde abril.

Fuente: THN

Suscríbete a nuestro Boletín