GhostLock: vulnerabilidad del kernel de Linux con 15 años de antigüedad con exploit activo
Investigadores de Nebula Security han revelado GhostLock (CVE-2026-43499), una vulnerabilidad del kernel de Linux con 15 años de antigüedad que permite a cualquier usuario conectado obtener el control total de una máquina sin parchear.
El código vulnerable se ha incluido por defecto en prácticamente todas las distribuciones principales desde 2011. La vulnerabilidad no requiere permisos especiales, configuraciones inusuales ni acceso a la red; basta con llamadas a subprocesos desde cualquier programa local.
Nebula la convirtió en un exploit funcional con acceso de administrador, con una fiabilidad del 97% en sus pruebas, que además escapa de los contenedores. Google les otorgó 92.337 dólares a través de su programa de recompensas por errores kernelCTF.
Aunque no se tiene constancia de que nadie la esté explotando activamente, Nebula ha publicado el código del exploit, por lo que cualquiera puede ejecutarlo. La prioridad es aplicar los parches.
Cómo funciona la vulnerabilidad
El kernel cuenta con un sistema para evitar que una tarea urgente se quede bloqueada tras una tarea trivial. Parte del proceso consiste en una limpieza que finaliza una tarea una vez que deja de esperar.
Normalmente, esto funciona correctamente. Sin embargo, en un caso excepcional, cuando una operación de bloqueo se estanca y debe revertirse, la limpieza se ejecuta en el momento equivocado y borra el registro de la tarea incorrecta.
Este error deja al kernel con una "nota" que apunta a un fragmento de memoria que ya ha descartado y reutilizado. Confiar en ese puntero obsoleto es el origen del fallo, un tipo de error conocido como uso de memoria liberada. A partir de ahí, el equipo de Nebula encadenó varios pasos ingeniosos para convertir ese pequeño error en control total, logrando finalmente engañar al kernel para que ejecutara su propio código como el usuario "root". En su máquina de prueba, esto tardó unos cinco segundos.
La vulnerabilidad ha estado presente en Linux desde 2011 y se corrigió en abril. Las distribuciones ya están implementando el parche (3bfdc63936dd). Afecta a casi todas las versiones de Linux y tiene una puntuación de 7.8 sobre 10 (alta, no crítica) porque el atacante necesita estar previamente conectado a la máquina. Nebula la descubrió con VEGA, su herramienta de búsqueda de errores basada en IA.
Qué hacer
Instala el kernel actual de tu distribución, no solo la primera versión parcheada. La corrección original introdujo un error de bloqueo independiente (CVE-2026-53166), y la solución para este error aún se estaba implementando a principios de julio, por lo que las primeras versiones podrían no incluir la versión final.
No existe una solución definitiva, ya que las operaciones que la desencadenan son rutinarias para cualquier proceso local.
La disponibilidad es irregular hasta el momento. Ubuntu, por ejemplo, había parcheado su última versión y algunos kernels en la nube, pero a principios de julio aún mostraba las versiones 24.04, 22.04 y 20.04 LTS como vulnerables o en proceso de parcheo. Consulta el aviso de tu distribución y confirma la versión del paquete corregido en lugar de asumir que hay una disponible.
Dos opciones de compilación, RANDOMIZE_KSTACK_OFFSET y STATIC_USERMODE_HELPER, dificultan este exploit, pero son medidas de mitigación, no correcciones. Aplica el parche primero a las máquinas compartidas y multiusuario, servidores en la nube, contenedores y ejecutores de CI, donde es más probable que un atacante encuentre la vulnerabilidad que necesita.
GhostLock no es el único fallo de kernel a root este año. Se suma a una serie de fallos de escalamiento de privilegios en Linux de 2026, varios de los cuales comparten un detalle: fueron detectados por una herramienta automatizada.
VEGA detectó GhostLock. Días antes, los investigadores revelaron Bad Epoll (CVE-2026-46242), una vulnerabilidad similar que también convierte a un usuario sin privilegios en root. Se demostró su funcionamiento mediante kernelCTF y, a diferencia de otros tipos de fallos, funciona en Android.
Bad Epoll se encuentra en el mismo segmento de código donde se atribuyó una vulnerabilidad similar al modelo Mythos de Anthropic. Lo que comparten es una maquinaria del kernel antigua y muy utilizada que pocos habían revisado en años, hasta que las herramientas automatizadas comenzaron a combinarla. La herencia de prioridad de Futex data de 2011. Esta clase de vulnerabilidades no es teórica: otro fallo de 2026, Copy Fail (CVE-2026-31431), ya figura en la lista de vulnerabilidades de CISA detectadas en ataques reales.
GhostLock es también la segunda parte de una cadena que Nebula denomina IonStack. La primera parte, CVE-2026-10702, es un fallo de Firefox que ejecuta código dentro del navegador y escapa de su entorno aislado. GhostLock completa el proceso hasta obtener acceso root.
Nebula ya ha demostrado la cadena completa, desde un simple clic en un enlace malicioso hasta el control total, contra Firefox en Android. Por eso, un fallo del kernel que solo afecta al entorno local sigue siendo relevante: por sí solo, necesita un punto de acceso, pero combinado con una vulnerabilidad del navegador, se convierte en una intrusión remota. Nebula anuncia que próximamente publicará un informe completo sobre la vulnerabilidad en Android.
Fuente: THN


0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!