Nuevamente Linux se enfrenta a un nuevo desafío con la aparición de «Dirty Frag», una serie de vulnerabilidades también conocidas como Copy Fail 2. Este conjunto de fallos de alta gravedad, identificados formalmente bajo los registros CVE-2026-43284 y CVE-2026-43500, permite a un usuario local sin privilegios obtener acceso total de administrador al sobrescribir datos directamente en la caché de páginas del sistema operativo.
Se menciona que la amenaza ha demostrado ser excepcionalmente versátil y peligrosa, ya que un investigador logró desarrollar un exploit funcional capaz de comprometer prácticamente todas las distribuciones actuales, obligando a los administradores de sistemas a tomar medidas inmediatas frente a un problema que salió a la luz pública antes de lo previsto debido a una filtración accidental de información.
Dirty Frag no es un fallo aislado, sino que abarca dos vulnerabilidades distintas que residen en subsistemas independientes del núcleo de Linux:
- El módulo xfrm-ESP: encargado de acelerar las operaciones de cifrado IPsec mediante el protocolo de carga útil de seguridad encapsulada,
- El controlador RxRPC: responsable de la gestión de llamadas a procedimientos remotos sobre conexiones UDP.
Aunque operan en áreas diferentes y fueron introducidos en distintos años, ambas vulnerabilidades comparten el mismo vector de ataque originado por optimizaciones defectuosas en el manejo de memoria. Dependiendo de la configuración de seguridad y los módulos cargados en cada distribución, un atacante puede explotar una u otra vía para escalar sus privilegios y tomar el control absoluto del servidor afectado.
Optimizaciones defectuosas y la manipulación de la memoria
La mecánica interna de estas vulnerabilidades comparte una asombrosa similitud con el reciente fallo estructural Copy Fail. El problema central se origina durante el proceso de descifrado de datos en el mismo espacio de memoria, conocido como operaciones «in situ», mediante el uso de una función específica de transferencia de archivos.
Al mover datos entre descriptores y tuberías sin copiarlos físicamente para ahorrar recursos, el sistema pasa referencias directas a los elementos almacenados en la caché de páginas. El fallo crítico se produce porque los desplazamientos de escritura durante este proceso se calculaban sin aplicar las comprobaciones de seguridad adecuadas para este tipo de referencias directas, permitiendo que una solicitud maliciosa meticulosamente diseñada sobrescriba exactamente cuatro bytes en la memoria caché de cualquier archivo cargado en el sistema.
El peligro radica en cómo los sistemas operativos modernos gestionan la eficiencia en la lectura de archivos. Dado que cualquier solicitud de lectura extrae la información primero de la caché de páginas de la memoria RAM para acelerar el rendimiento, una alteración en este espacio volátil provoca que el núcleo entregue datos falsificados en lugar del contenido real almacenado de forma segura en el disco duro.
El método de explotación aprovecha esta arquitectura para modificar la versión en caché de un archivo ejecutable crítico que posea permisos de superusuario, inyectando código malicioso directamente en la memoria. Al ejecutar dicha herramienta comprometida, el sistema procesa el código inyectado con privilegios absolutos, otorgando un acceso root instantáneo sin haber alterado jamás el archivo físico original.
Explotación y la filtración del parche de seguridad
Para ejecutar este ataque con éxito, el actor malicioso necesita sortear ciertas defensas dependiendo del módulo objetivo. La vulnerabilidad presente en el subsistema xfrm-ESP requiere que el usuario posea permisos para crear espacios de nombres, una acción que distribuciones robustas como Ubuntu bloquean por defecto mediante reglas estrictas de AppArmor. Sin embargo, para contrarrestar estos escudos, los investigadores desarrollaron un exploit combinado que también ataca el módulo RxRPC, el cual suele cargarse de forma predeterminada en una inmensa cantidad de sistemas. Esta versatilidad ha permitido confirmar la efectividad del ataque de escalada en las últimas versiones estables de las distribuciones de Linux.
La gestión de esta crisis sufrió un grave contratiempo operativo cuando los detalles técnicos esenciales se filtraron antes de la fecha de publicación coordinada. A finales del mes de abril, varios parches correctivos fueron enviados a las listas de correo públicas de desarrollo de red sin advertir sobre su relación directa con una vulnerabilidad crítica de escalada de privilegios.
Un investigador de seguridad independiente analizó estos cambios en el repositorio, reconoció la similitud con el fallo Copy Fail original y logró desarrollar y publicar un exploit funcional, desconociendo por completo que existía un embargo de confidencialidad en curso. Afortunadamente, las versiones correctivas del kernel ya han comenzado a distribuirse de forma masiva para tapar ambas brechas, y para aquellos sistemas que aún no pueden aplicar las actualizaciones definitivas, se recomienda encarecidamente bloquear la carga manual de los módulos esp4, esp6 y rxrpc como medida de mitigación de emergencia.
Finalmente si estas interesado en poder conocer mas al respecto, puedes consultar los detalles en el siguiente enlace.
Continúar leyendo...