Se ha publicado un código de explotación de prueba de concepto (PoC) para una falla de seguridad recientemente reparada en el kernel de Linux que podría permitir la escalada de privilegios locales (LPE).
Apodado suciodescifrar (también conocido como DirtyCBC), la vulnerabilidad fue descubierta e informada por el equipo de seguridad de Zellic y V12 el 9 de mayo de 2026, solo para que los mantenedores les informaran que era un duplicado de una vulnerabilidad que ya había sido parcheada en la línea principal.
«Es una escritura de caché de página rxgk debido a que falta VACA [copy-on-write] guardia en rxgk_decrypt_skb», cofundador de Zellic, Luna Tong (también conocido como cts y gf_256) dicho en una descripción compartida en GitHub.
Aunque el identificador CVE no fue revelado, la vulnerabilidad en cuestión es CVE-2026-31635 (Puntuación CVSS: 7,5) basado en el hecho de que la Base de datos nacional de vulnerabilidades (NVD) del NIST incluye un enlace al PoC de DirtyDecrypt en su registro CVE.
«La falla específica se encuentra en rxgk_decrypt_skb(), la función que descifra un sk_buff (búfer de socket) entrante en el lado de recepción», Moselwal dicho.
«En esta ruta de código, el kernel maneja páginas de memoria que se comparten parcialmente con el caché de páginas de otros procesos – una optimización normal de Linux protegida por copia en escritura: tan pronto como ocurre una escritura en una página compartida, se hace una copia privada de antemano para que la escritura no se filtre en los datos de otro proceso».
La ausencia de esta protección COW en rxgk_decrypt_skb significa que los datos se escriben en la memoria de procesos privilegiados o, dependiendo de la ruta del exploit, en la página caché de archivos privilegiados, como etc/shadow, /etc/sudoers o un binario SUID, lo que lleva a una escalada de privilegios local.
DirtyDecrypt afecta solo a las distribuciones con CONFIG_RXGK habilitados, como Fedora, Arch Linux y openSUSE Tumbleweed. En entornos en contenedores, los nodos trabajadores que ejecutan una versión vulnerable de Linux podrían proporcionar una vía para escapar del pod.
Se considera que la vulnerabilidad, según Zellic, es una variante de Copy Fail (CVE-2026-31431), Dirty Frag también conocido como Copy Fail 2 (CVE-2026-43284 y CVE-2026-43500) y Fragnesia (CVE-2026-46300), todos los cuales otorgan acceso de root en sistemas vulnerables.
Copia fallidauna falla de escalada de privilegios local en la interfaz de socket criptográfico AF_ALG, fue revelada por investigadores de Theori el 29 de abril de 2026. Fue seguida por Fragmento sucio una semana después. Dirty Frag amplía Copy Fail con dos primitivas de escritura de caché de página.
Sin embargo, el investigador de seguridad Hyunwoo Kim se vio obligado a seguir adelante con la divulgación pública después de que la ventana de embargo acordada terminara prematuramente cuando un parche fusionado para CVE-2026-43284 el 5 de mayo llevó a otro investigador, que desconocía el embargo, a analizar y publicar detalles de forma independiente del defecto.
«Leí la confirmación, reconocí la ruta xfrm ESP-in-UDP MSG_SPLICE_PAGES sin COW contra páginas de canalización compartidas como una primitiva LPE y construí una PoC», el investigador, que utiliza los alias en línea 0xdeadbeefnetwork y afflicted.sh, anotado. «El trabajo es un armamento de n días a partir de un compromiso público ascendente, que es una práctica estándar una vez que una solución relevante para la seguridad llega a un árbol público».
Fragnesia es otra variante de Dirty Frag e impacta el subsistema XFRM ESP-in-TCP. Pero el resultado es el mismo: permite a atacantes locales sin privilegios modificar el contenido de archivos de sólo lectura en la caché de la página del núcleo y obtener privilegios de root.
El desarrollo coincide con el descubrimiento de una falla LPE en Linux PaqueteKit demonio (CVE-2026-41651 también conocido como Pack2TheRoot, puntuación CVSS: 8.8) y una falla de administración de privilegios inadecuada en el kernel (CVE-2026-46333 alias ssh-keysign-pwnpuntuación CVSS: 5,5), que permite a un usuario local sin privilegios leer secretos de propiedad raíz, como claves privadas SSH.
Varias distribuciones de Linux han publicado avisos para CVE-2026-46333 –
¿Killswitch del núcleo?
La avalancha de nuevas revelaciones en un lapso de unas pocas semanas ha llevado a los desarrolladores del kernel de Linux a revisar una propuesta para un «interruptor de emergencia» que permitiría a los administradores desactivar funciones vulnerables del kernel en tiempo de ejecución hasta que esté disponible un parche para una vulnerabilidad de día cero.
«Killswitch permite a un operador privilegiado hacer que una función del núcleo elegida devuelva un valor fijo sin ejecutar su cuerpo, como una mitigación temporal de un error de seguridad mientras se prepara una solución real», según un propuesta presentado por el desarrollador y mantenedor del kernel de Linux Sasha Levin.
«La función devuelve el valor proporcionado por el operador y no se ejecuta nada más en su lugar. No hay una lista de permitidos, ni una verificación de tipo de retorno; si la capa kprobe acepta el símbolo, killswitch lo activa. Una vez activado, el cambio tiene efecto en cada CPU hasta que se escribe «disengage« o el sistema se reinicia».
Rocky Linux estrena repositorio de seguridad
Rocky Linux, por su parte, ha introducido una opción opcional. repositorio de seguridad eso permite que la distribución envíe correcciones de seguridad urgentes rápidamente, particularmente en escenarios donde las vulnerabilidades graves se vuelven de conocimiento público antes de que lleguen las correcciones coordinadas.
«El repositorio está deshabilitado de forma predeterminada. Eso es intencional», dijeron los mantenedores. dicho. «La experiencia predeterminada de Rocky Linux sigue siendo exactamente la que siempre ha sido: predecible, estable y totalmente compatible con las versiones anteriores. Los administradores que deseen acceder a correcciones aceleradas pueden optar por participar cuando lo necesiten».
El repositorio de seguridad atiende específicamente a casos «específicos y limitados» en los que una vulnerabilidad significativa es pública, existe un código de explotación y los parches ascendentes aún no están disponibles. Rocky Linux ha enfatizado que no reemplaza el proceso de lanzamiento regular.
«Si implementamos una solución y el desarrollador decide no solucionarlo, la próxima versión del kernel reemplazará nuestra versión parcheada», agregaron los mantenedores. «Los usuarios que no hayan bloqueado la versión de su kernel, en ese momento, ya no tendrán nuestra solución. Ésa es la compensación que aceptamos al construir esto».
