Han surgido detalles sobre una nueva vulnerabilidad de escalada de privilegios locales (LPE) sin parches que afecta al kernel de Linux.
Apodado Fragmento suciose ha descrito como un sucesor de Copy Fail (CVE-2026-31431, puntuación CVSS: 7,8), una falla de LPE revelada recientemente que afecta al kernel de Linux y que desde entonces ha estado bajo explotación activa en la naturaleza. La vulnerabilidad se informó a los mantenedores del kernel de Linux el 30 de abril de 2026.
«Dirty Frag es una vulnerabilidad (clase) que logra privilegios de root en la mayoría de las distribuciones de Linux al encadenar la vulnerabilidad xfrm-ESP Page-Cache Write y la vulnerabilidad RxRPC Page-Cache Write», dijo el investigador de seguridad Hyunwoo Kim (@v4bel) en un artículo.
«Dirty Frag es un caso que extiende la clase de error a la que pertenecen Dirty Pipe y Copy Fail. Debido a que es un error de lógica determinista que no depende de una ventana de tiempo, no se requiere ninguna condición de carrera, el núcleo no entra en pánico cuando falla el exploit y la tasa de éxito es muy alta».
La vulnerabilidad actualmente no tiene un identificador CVE, ya que se dice que el embargo se rompió después de que un tercero no relacionado publicara información detallada y un exploit para la vulnerabilidad xfrm-ESP Page-Cache Write.
La explotación exitosa de la falla podría permitir a un usuario local sin privilegios obtener acceso raíz elevado en la mayoría de las distribuciones de Linux, incluidas Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 y Fedora 44.
Según el investigador, la vulnerabilidad xfrm-ESP Page-Cache Write se introdujo en una confirmación del código fuente realizada en enero de 2017, mientras que la vulnerabilidad RxRPC Page-Cache Write se introdujo en junio de 2023. Curiosamente, la misma confirmación del 17 de enero de 2017 fue la causa principal detrás de otro desbordamiento del búfer (CVE-2022-27666, puntuación CVSS: 7,8) que afectó a varias distribuciones de Linux.
xfrm-ESP Page-Cache Write, que tiene su raíz en el subsistema IPSec (xfrm), proporciona a los atacantes una primitiva de almacenamiento de 4 bytes como Copy Fail y sobrescribe una pequeña cantidad en la caché de páginas del kernel.
Sin embargo, el exploit requiere que el usuario sin privilegios cree un espacio de nombres, un paso que Ubuntu bloquea a través de AppArmor. En tal entorno, no se puede activar xfrm-ESP Page-Cache Write. Ahí es donde entra en juego el segundo exploit, RxRPC Page-Cache Write.
«RxRPC Page-Cache Write no requiere privilegios para crear un espacio de nombres, pero el módulo rxrpc.ko en sí no está incluido en la mayoría de las distribuciones», explicó Kim. «Por ejemplo, la versión predeterminada de RHEL 10.1 no incluye rxrpc.ko. Sin embargo, en Ubuntu, el módulo rxrpc.ko se carga de forma predeterminada».
«Encadenar las dos variantes hace que los puntos ciegos se cubran entre sí. En un entorno donde se permite la creación de espacios de nombres de usuario, el exploit ESP se ejecuta primero. Por el contrario, en Ubuntu, donde la creación de espacios de nombres de usuarios está bloqueada pero se construye rxrpc.ko, el exploit RxRPC funciona».
CloudLinx, en su propio aviso, dijo que la falla reside en la «ruta rápida ESP-in-UDP MSG_SPLICE_PAGES sin COW y es accesible a través de la interfaz netlink del usuario XFRM».
«El error reside en las rutas rápidas de descifrado in situ de esp4, esp6 y rxrpc: cuando un búfer de socket transporta fragmentos paginados que no son propiedad privada del kernel (por ejemplo, páginas de canalización adjuntas mediante splice(2)/sendfile(2)/MSG_SPLICE_PAGES), la ruta de recepción se descifra directamente sobre esas páginas respaldadas externamente, exponiendo o corrompiendo el texto sin formato al que un proceso sin privilegios todavía tiene una referencia». AlmaLinux dijo.
Otras distribuciones de Linux han publicado avisos similares:
A la urgencia se suma el lanzamiento de una prueba de concepto (PoC) funcional que puede explotarse para obtener root con un solo comando. Hasta que los parches estén disponibles, se recomienda bloquear los módulos esp4, esp6 y rxrpc para que no se puedan cargar.
sudo sh -c «printf ‘install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true»
Vale la pena mencionar aquí que Dirty Frag, a pesar de compartir algunas superposiciones con Copy Fail, puede ser explotado independientemente de si el módulo algif_aead del kernel de Linux está habilitado o no.
«Tenga en cuenta que Dirty Frag se puede activar independientemente de si el módulo algif_aead está disponible», dijo el investigador. «En otras palabras, incluso en sistemas donde se aplica la mitigación públicamente conocida de Copy Fail (lista negra algif_aead), su Linux sigue siendo vulnerable a Dirty Frag».
Actualizar
A la vulnerabilidad xfrm-ESP Page-Cache Write se le asignó CVE-2026-43284 y se parchó en la línea principal en f4c50a4034e6. A la vulnerabilidad RxRPC Page-Cache Write se le ha asignado el identificador CVE-2026-43500, aunque no hay ningún parche disponible en el momento de escribir este artículo.
«En hosts que no ejecutan cargas de trabajo de contenedores, la vulnerabilidad permite a un usuario local elevar privilegios al usuario root», dijo Ubuntu. «En implementaciones de contenedores que pueden ejecutar cargas de trabajo arbitrarias de terceros, la vulnerabilidad también puede facilitar escenarios de escape de contenedores, además de la escalada de privilegios locales en el host».
En un aviso, Wiz, propiedad de Google, describió Dirty Frag como una cadena de vulnerabilidad que combina dos primitivas de escritura de caché de página en el kernel de Linux: una en el subsistema xfrm-ESP (IPsec) y otra en RxRPC.
«Ambas fallas permiten la modificación de la memoria respaldada por caché de páginas que no es propiedad exclusiva del núcleo, lo que permite la corrupción de archivos confidenciales y, en última instancia, la escalada de privilegios», dijeron los investigadores Merav Bar y Rami McCarthy. «A diferencia de los exploits basados en condiciones de carrera, esta clase de error es determinista y altamente confiable, similar a vulnerabilidades anteriores como Copy Fail y Dirty Pipe».
«Para lograr este exploit, un atacante necesita dos cosas: acceso a interfaces de kernel vulnerables específicas y la capacidad de manipular buffers respaldados por páginas (por ejemplo, a través de rutas relacionadas con splice()). Sin embargo, existe un obstáculo importante: el exploit generalmente requiere permisos de sistema de alto nivel, como CAP_NET_ADMIN. Esto significa que la explotación es menos probable en entornos en contenedores reforzados (por ejemplo, Kubernetes con perfiles seccomp predeterminados)».
Se observa explotación limitada en la naturaleza
Microsoft dijo que actualmente está observando una actividad limitada en la naturaleza para lograr una escalada de privilegios usando el comando «su» (también conocido como usuario sustituto), que señaló «puede ser indicativo de técnicas asociadas con ‘Dirty Frag’ o ‘Copy Fail'».
«La campaña muestra una línea de tiempo de ataque secuencial donde una conexión externa obtiene acceso SSH y genera un shell interactivo, seguido de la preparación y ejecución de un binario ELF (./update) que inmediatamente desencadena una escalada de privilegios a través de ‘su'», añadió Microsoft.
Al obtener acceso elevado, se ha descubierto que los actores de amenazas desconocidos modifican un archivo de autenticación LDAP GLPI, realizan un reconocimiento del directorio GLPI y la configuración del sistema, e inspeccionan un artefacto de explotación. A este paso, los atacantes acceden a datos confidenciales e interactúan con múltiples archivos de sesión PHP, incluido el borrado y la eliminación forzosa de algunos de ellos, probablemente en un intento de interrumpir las sesiones activas y el acceso a los contenidos de las sesiones.
«Dirty Frag es notable porque introduce múltiples rutas de ataque al kernel que involucran componentes de red rxrpc y esp/xfrm para mejorar la confiabilidad de la explotación», dijo Microsoft. «En lugar de depender de ventanas de tiempo estrechas o condiciones de corrupción inestables a menudo asociadas con vulnerabilidades de escalada de privilegios locales de Linux, Dirty Frag parece diseñado para aumentar la coherencia en entornos vulnerables».