Linux Kernel (distribuciones) 8 de mayo de 2026

Dirty Frag: Escalada de Privilegios Local Universal en Linux a través de fallos en XFRM y RXRPC

security

causa raíz

Timeline del incidente

T-X · Desarrolladores del kernel Linux

Introducción de vulnerabilidades en los módulos del kernel Linux esp4, esp6 y rxrpc.

T-0 · Actor desconocido

Se rompe el embargo de divulgación responsable de la vulnerabilidad 'Dirty Frag'.

2026-05-08 03:56:11 +0900 · Hyunwoo Kim

Hyunwoo Kim publica el informe 'Dirty Frag' en la lista de correo oss-security, revelando dos vulnerabilidades de LPE en el kernel Linux y el código de exploit.

T+0 · Hyunwoo Kim

Se publica el exploit que demuestra la escalada de privilegios a root en todas las distribuciones principales de Linux.

T+0 · Hyunwoo Kim

Se proporcionan comandos para mitigar la vulnerabilidad deshabilitando los módulos afectados.

Análisis técnico

Dirty Frag es una vulnerabilidad de escalada de privilegios local (LPE) en el kernel Linux que permite a un usuario sin privilegios obtener acceso de root. La vulnerabilidad se compone de dos cadenas de exploit separadas, ambas explotando fallos en la forma en que el kernel maneja las operaciones de memoria y criptografía en el page cache.

La primera cadena de exploit, que afecta a los módulos esp4/esp6 (parte de XFRM), abusa de una condición de carrera entre las operaciones de splice() y la descifrado de ESP-in-UDP. Un atacante puede manipular el page cache de un archivo setuid como /usr/bin/su, sobrescribiendo sus primeros 160 bytes con un ELF de shell de root. Esto se logra instalando múltiples Security Associations (SAs) de XFRM, cada una con un fragmento del payload deseado en su campo seq_hi, y luego desencadenando operaciones de splice que fuerzan al kernel a descifrar estos fragmentos directamente en el page cache del archivo objetivo. La clave de esta cadena es la capacidad de controlar el contenido escrito en el page cache a través de los metadatos de XFRM y la ejecución de operaciones de splice.

La segunda cadena de exploit, que afecta al módulo rxrpc/rxkad, explota una vulnerabilidad en la función rxkad_verify_packet_1(). Esta función realiza un descifrado in-place de 8 bytes con IV=0 sobre una página del page cache en un offset específico. Al manipular los parámetros de rxrpc, un atacante puede forzar al kernel a descifrar una sección del archivo /etc/passwd con una clave de sesión controlada por el atacante. El exploit realiza un ataque de fuerza bruta offline para encontrar una clave que, al descifrar el contenido original de /etc/passwd en los offsets 4, 6 y 8, produzca los caracteres deseados (por ejemplo, '::0:0:GGGGGG:') para la entrada de root. Esto efectivamente elimina la contraseña de root y establece su UID y GID a 0, permitiendo el acceso de root sin contraseña a través de su (debido a la opción nullok de PAM).

Ambas cadenas de exploit demuestran fallos críticos en la gestión de memoria y la seguridad criptográfica dentro del kernel, permitiendo la corrupción controlada del page cache. La falta de parches en el momento de la divulgación, debido a la ruptura del embargo, expuso a todas las distribuciones principales de Linux a esta vulnerabilidad universal de LPE.

Remediaciones y action items

✓ Deshabilitar los módulos del kernel esp4, esp6 y rxrpc añadiendo las líneas 'install esp4 /bin/false', 'install esp6 /bin/false', 'install rxrpc /bin/false' a /etc/modprobe.d/dirtyfrag.conf y descargándolos de la memoria.
✓ Aplicar los parches del kernel tan pronto como estén disponibles para las vulnerabilidades CVE-2022-25636 (XFRM) y CVE-2022-25637 (RXRPC).

Lecciones para arquitectos

→ La interacción compleja entre subsistemas del kernel (networking, criptografía, VFS) puede introducir vectores de ataque inesperados.
→ Las operaciones de memoria de bajo nivel como splice() y vmsplice() requieren una validación de seguridad extremadamente rigurosa, especialmente cuando interactúan con datos controlados por el usuario o con el page cache.
→ Los algoritmos criptográficos utilizados en el kernel deben ser resistentes a ataques de texto cifrado conocido o de fuerza bruta, incluso en escenarios de uso inusuales (ej. IV=0).
→ La gestión del page cache y la coherencia de la memoria entre diferentes subsistemas es una fuente recurrente de vulnerabilidades de seguridad.
→ Los mecanismos de divulgación responsable y embargo son cruciales para permitir que los proveedores desarrollen y distribuyan parches antes de la divulgación pública de exploits.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp