Linux Kernel (afecta a todas las distribuciones principales) 8 de mayo de 2026

Dirty Frag: Escalada de Privilegios Local Universal en Linux a través de Vulnerabilidades en el Kernel (ESP y rxrpc)

security

causa raíz

Timeline del incidente

T-X · Investigador de seguridad (Hyunwoo Kim)

Descubrimiento de dos vulnerabilidades de LPE en el kernel de Linux (ESP y rxrpc/rxkad).

T-0 · Terceros desconocidos

Ruptura del embargo de divulgación responsable, sin parches disponibles públicamente.

2026-05-08 03:56:11 +0900 · Hyunwoo Kim

Divulgación pública de 'Dirty Frag' y código de exploit en oss-security@openwall.com, incluyendo detalles técnicos y mitigaciones temporales.

T+0 · Atacante/Exploit

Ejecución del exploit Dirty Frag. Intento de sobrescribir /usr/bin/su con un ELF de shell root usando la vulnerabilidad ESP.

T+1 · Atacante/Exploit

Si la ruta ESP falla (ej. por sandboxing de AF_ALG), el exploit intenta parchear la entrada de 'root' en /etc/passwd a 'root::0:0...' usando la vulnerabilidad rxrpc/rxkad.

T+2 · Atacante/Exploit

Una vez que /usr/bin/su o /etc/passwd son parcheados, el exploit lanza un shell root interactivo a través de `su` sin requerir contraseña.

Análisis técnico

Dirty Frag es una vulnerabilidad de escalada de privilegios local (LPE) universal en el kernel de Linux que afecta a todas las distribuciones principales. Se compone de dos cadenas de exploits distintas: una que abusa del subsistema ESP (Encapsulating Security Payload) y otra que explota el subsistema rxrpc/rxkad. Ambas permiten a un usuario local sin privilegios obtener acceso de root.

La cadena ESP aprovecha una debilidad en el manejo de XFRM Security Associations (SAs) y la interacción con splice/vmsplice. Permite a un atacante escribir datos arbitrarios en el page cache de un archivo arbitrario (en este caso, /usr/bin/su). Al sobrescribir los primeros 160 bytes de /usr/bin/su con un ELF de shell root estático, se logra que cualquier invocación posterior de su ejecute /bin/sh como uid 0, eludiendo completamente PAM.

La cadena rxrpc/rxkad explota una debilidad en la verificación de paquetes rxkad v1. Un atacante puede forzar al kernel a realizar una operación de descifrado in-place de 8 bytes en una página del page cache de un archivo arbitrario (en este caso, /etc/passwd). Mediante un ataque de fuerza bruta offline sobre la clave de cifrado (SESSION_KEY) para predecir el resultado del descifrado, el atacante puede modificar selectivamente partes de la entrada de 'root' en /etc/passwd para establecer un campo de contraseña vacío y un UID/GID de 0. Esto, combinado con la opción nullok de pam_unix.so en PAM, permite iniciar sesión como root sin contraseña. La complejidad de la fuerza bruta se gestiona mediante la predicción de los cambios en el ciphertext debido a las escrituras solapadas de los splices.

La falla de las salvaguardas reside en la existencia de estas vulnerabilidades de corrupción de memoria o lógica en componentes de red del kernel que no deberían permitir escrituras arbitrarias en el page cache de archivos del sistema. La capacidad de un usuario sin privilegios para manipular estructuras de datos del kernel de esta manera, incluso dentro de un user namespace, es una falla fundamental en el modelo de seguridad. La ausencia de parches en el momento de la divulgación pública exacerbó el riesgo, dejando a los sistemas expuestos hasta que los mantenedores de las distribuciones pudieran reaccionar.

Remediaciones y action items

✓ Aplicar los parches del kernel de Linux tan pronto como estén disponibles para las vulnerabilidades ESP y rxrpc/rxkad.
✓ Eliminar los módulos del kernel `esp4`, `esp6` y `rxrpc` si no son estrictamente necesarios, añadiendo `install esp4 /bin/false`, `install esp6 /bin/false` y `install rxrpc /bin/false` a `/etc/modprobe.d/dirtyfrag.conf` y descargándolos manualmente.
✓ Implementar sandboxing más estricto para procesos de usuario, especialmente aquellos que interactúan con subsistemas del kernel como AF_ALG o AF_RXRPC, para limitar su capacidad de explotar futuras vulnerabilidades de este tipo.
✓ Realizar auditorías de seguridad y fuzzing continuo en componentes críticos del kernel, especialmente aquellos relacionados con la red y la criptografía, para identificar y corregir vulnerabilidades antes de su explotación.

Lecciones para arquitectos

→ La complejidad de las interacciones entre subsistemas del kernel puede introducir vulnerabilidades inesperadas (ej. `splice` con XFRM).
→ La seguridad por capas es crucial: incluso con user namespaces, las vulnerabilidades en el kernel pueden anular las protecciones.
→ La divulgación responsable es vital, pero los planes de embargo pueden romperse, requiriendo una capacidad de respuesta rápida.
→ Los ataques de fuerza bruta offline pueden ser efectivos contra algoritmos criptográficos débiles o mal implementados en el kernel.
→ La inyección de datos en el page cache es una primitiva de ataque potente que puede eludir muchas protecciones de seguridad a nivel de usuario.
→ La configuración predeterminada de PAM (`nullok`) puede ser un riesgo si se combina con la capacidad de modificar `/etc/passwd`.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp