Se ha publicado un código de explotación de prueba de concepto (PoC) para una falla de seguridad recientemente reparada en el kernel de Linux que podría permitir la escalada de privilegios locales (LPE).
Apodado suciodescifrar (también conocido como DirtyCBC), la vulnerabilidad fue descubierta e informada por el equipo de seguridad de Zellic y V12 el 9 de mayo de 2026, solo para que los mantenedores les informaran que era un duplicado de una vulnerabilidad que ya había sido parcheada en la línea principal.
«Es una escritura de caché de página rxgk debido a que falta la protección COW (copia en escritura) en rxgk_decrypt_skb», dijo el cofundador de Zellic, Luna Tong (también conocido como cts y gf_256), en una descripción compartida en GitHub.
Aunque el identificador CVE no fue revelado, la vulnerabilidad en cuestión es CVE-2026-31635 (puntuación CVSS: 7,5) según el hecho de que la base de datos nacional de vulnerabilidades (NVD) del NIST incluye un enlace al PoC de DirtyDecrypt en su registro CVE.
«La falla específica se encuentra en rxgk_decrypt_skb(), la función que descifra un sk_buff (búfer de socket) entrante en el lado de recepción», dijo Moselwal.
«En esta ruta de código, el kernel maneja páginas de memoria que se comparten parcialmente con el caché de páginas de otros procesos – una optimización normal de Linux protegida por copia en escritura: tan pronto como ocurre una escritura en una página compartida, se hace una copia privada de antemano para que la escritura no se filtre en los datos de otro proceso».
La ausencia de esta protección COW en rxgk_decrypt_skb significa que los datos se escriben en la memoria de procesos privilegiados o, dependiendo de la ruta del exploit, en la página caché de archivos privilegiados, como etc/shadow, /etc/sudoers o un binario SUID, lo que lleva a una escalada de privilegios local.
DirtyDecrypt solo afecta a las distribuciones con CONFIG_RXGK habilitado, como Fedora, Arch Linux y openSUSE Tumbleweed. En entornos en contenedores, los nodos trabajadores que ejecutan una versión vulnerable de Linux podrían proporcionar una vía para escapar del pod.
Se considera que la vulnerabilidad, según Zellic, es una variante de Copy Fail (CVE-2026-31431), Dirty Frag también conocido como Copy Fail 2 (CVE-2026-43284 y CVE-2026-43500) y Fragnesia (CVE-2026-46300), todos los cuales otorgan acceso de root en sistemas vulnerables.
Copy Fail, una falla de escalada de privilegios local en la interfaz de socket criptográfico AF_ALG, fue revelada por investigadores de Theori el 29 de abril de 2026. Le siguió Dirty Frag una semana después. Dirty Frag amplía Copy Fail con dos primitivas de escritura de caché de página.
Sin embargo, el investigador de seguridad Hyunwoo Kim se vio obligado a seguir adelante con la divulgación pública después de que la ventana de embargo acordada terminara prematuramente cuando un parche fusionado para CVE-2026-43284 el 5 de mayo llevó a otro investigador, que desconocía el embargo, a analizar y publicar de forma independiente detalles del defecto.
«Leí la confirmación, reconocí la ruta xfrm ESP-in-UDP MSG_SPLICE_PAGES no-COW contra páginas de canalización compartidas como una primitiva LPE y construí una PoC», señaló el investigador, que utiliza los alias en línea 0xdeadbeefnetwork y afflicted.sh. «El trabajo es un armamento de n días a partir de un compromiso público ascendente, que es una práctica estándar una vez que una solución relevante para la seguridad llega a un árbol público».
Fragnesia es otra variante de Dirty Frag e impacta el subsistema XFRM ESP-in-TCP. Pero el resultado es el mismo: permite a atacantes locales sin privilegios modificar el contenido de archivos de sólo lectura en la caché de la página del núcleo y obtener privilegios de root.
El desarrollo encaja con el descubrimiento de una falla LPE en el demonio PackageKit de Linux (CVE-2026-41651 también conocido como Pack2TheRoot, puntuación CVSS: 8,8) y una falla inadecuada en la gestión de privilegios en el kernel (CVE-2026-46333 también conocido como ssh-keysign-pwn, puntuación CVSS: 5,5), que permite a un usuario local sin privilegios leer secretos propiedad de root como SSH privado llaves.
Varias distribuciones de Linux han publicado avisos para CVE-2026-46333 –
¿Killswitch del núcleo?
La avalancha de nuevas revelaciones en un lapso de unas pocas semanas ha llevado a los desarrolladores del kernel de Linux a revisar una propuesta para un «interruptor de emergencia» que permitiría a los administradores desactivar funciones vulnerables del kernel en tiempo de ejecución hasta que esté disponible un parche para una vulnerabilidad de día cero.
«Killswitch permite a un operador privilegiado hacer que una función del kernel elegida devuelva un valor fijo sin ejecutar su cuerpo, como una mitigación temporal de un error de seguridad mientras se prepara una solución real», según una propuesta presentada por el desarrollador y mantenedor del kernel de Linux Sasha Levin.
«La función devuelve el valor proporcionado por el operador y no se ejecuta nada más en su lugar. No hay una lista de permitidos, ni una verificación de tipo de retorno; si la capa kprobe acepta el símbolo, killswitch lo activa. Una vez activado, el cambio tiene efecto en cada CPU hasta que se escribe «disengage« o el sistema se reinicia».
Rocky Linux estrena repositorio de seguridad
Rocky Linux, por su parte, ha introducido un repositorio de seguridad opcional que permite a la distribución enviar correcciones de seguridad urgentes rápidamente, particularmente en escenarios donde las vulnerabilidades graves se vuelven de conocimiento público antes de que lleguen las correcciones coordinadas.
«El repositorio está deshabilitado de forma predeterminada. Eso es intencional», dijeron los encargados del mantenimiento. «La experiencia predeterminada de Rocky Linux sigue siendo exactamente la que siempre ha sido: predecible, estable y totalmente compatible con las versiones anteriores. Los administradores que deseen acceder a correcciones aceleradas pueden optar por participar cuando lo necesiten».
El repositorio de seguridad atiende específicamente a casos «específicos y limitados» en los que una vulnerabilidad significativa es pública, existe un código de explotación y los parches ascendentes aún no están disponibles. Rocky Linux ha enfatizado que no reemplaza el proceso de lanzamiento regular.
«Si implementamos una solución y el desarrollador decide no solucionarlo, la próxima versión del kernel reemplazará nuestra versión parcheada», agregaron los mantenedores. «Los usuarios que no hayan bloqueado la versión de su kernel, en ese momento, ya no tendrán nuestra solución. Ésa es la compensación que aceptamos al construir esto».