Actualizaciones de seguridad on KnightLi Blog

ssh-keysign-pwn (CVE-2026-46333): filtración local de información en Linux, claves host SSH y riesgo para /etc/shadow

Sun, 17 May 2026 09:29:03 +0800

ssh-keysign-pwn se refiere a un conjunto de rutas de explotación alrededor de un fallo lógico en __ptrace_may_access() del Linux kernel, asignado como CVE-2026-46333. No es una vulnerabilidad remota sin autenticación y no entrega directamente una shell de root, pero el riesgo sigue siendo alto: un usuario local con pocos privilegios podría leer archivos sensibles de root que no debería poder acceder, como claves privadas de host SSH o /etc/shadow.

Para equipos de operaciones, la prioridad no es reproducir un PoC. La prioridad es identificar máquinas afectadas, actualizar el kernel, reiniciar para entrar en el kernel corregido y rotar claves de host SSH o restablecer contraseñas cuando sea necesario.

Conclusión rápida

Esta vulnerabilidad merece una prioridad alta por cuatro motivos:

La puede activar un usuario local de bajo privilegio, sin root.
Ya existe PoC público, lo que reduce mucho la barrera de explotación.
Los objetivos potenciales no son archivos comunes, sino claves privadas de host SSH y /etc/shadow.
La corrección requiere parche de kernel y reinicio; instalar paquetes sin reiniciar no basta.

Si tus servidores tienen múltiples usuarios, shell local, hosting compartido, CI runners, hosts de contenedores, aulas, bastiones o cualquier usuario local que no sea completamente confiable, conviene tratarlo primero.

Qué es la vulnerabilidad

Qualys publicó detalles en oss-security el 15 de mayo de 2026. Antes había informado a security@kernel.org de un problema lógico en __ptrace_may_access() del Linux kernel, y la corrección upstream ya había sido integrada por Linus. Después apareció código de explotación público, por lo que Qualys compartió la información en oss-security.

El equipo CVE del Linux kernel asignó luego CVE-2026-46333. La página de NVD muestra kernel.org como fuente, y la descripción corresponde al commit del kernel ptrace: slightly saner 'get_dumpable()' logic.

En términos simples, el fallo está en la ruta de salida de procesos. Cuando algunos procesos privilegiados están terminando, la lógica del kernel relacionada con las comprobaciones de acceso de ptrace puede omitir una comprobación dumpable que debería aplicarse, porque la tarea objetivo ya no tiene mm. Un atacante puede competir en una ventana muy estrecha y obtener descriptores de archivo que el proceso privilegiado en salida todavía mantiene abiertos.

Por eso se lo llama ssh-keysign-pwn: una de las rutas públicas de explotación gira alrededor de ssh-keysign para leer SSH host private keys.

Por qué puede exponer claves host SSH y /etc/shadow

En esencia, es una filtración local de información. Abusa de una ventana durante la salida de un programa privilegiado en la que el descriptor de memoria ya se separó, pero los descriptores de archivo aún no se cerraron.

El aviso de AlmaLinux explica el riesgo con claridad: si un programa privilegiado abrió archivos sensibles antes de bajar privilegios, y el atacante logra capturar el descriptor de archivo correspondiente durante la ventana de salida, esos archivos sensibles podrían leerse.

Dos objetivos frecuentes en la discusión pública son:

ssh-keysign: puede involucrar claves privadas de host SSH como /etc/ssh/ssh_host_*_key.
chage: puede involucrar /etc/shadow.

Si se filtran claves privadas de host SSH, un atacante podría suplantar el host y debilitar la confianza en la identidad SSH del servidor. Si se filtra /etc/shadow, un atacante puede crackear hashes de contraseña offline y ampliar el compromiso después.

Por eso debe tratarse como un problema de alta prioridad aunque no sea una vulnerabilidad de “root shell directo”.

Cómo evaluar la exposición

Desde la perspectiva upstream, es una vulnerabilidad del Linux kernel. Los registros de NVD muestran que el problema entró en el dataset de NVD el 15 de mayo de 2026, y en ese momento todavía no tenía puntuación CVSS.

El estado por distribución debe verificarse en los avisos de cada proveedor:

AlmaLinux 8, 9 y 10 publicaron orientación y el 16 de mayo de 2026 actualizaron el aviso para indicar que los patched kernels ya estaban en repositorios de producción.
Debian Security Tracker lista estados vulnerable/fixed y versiones corregidas para bullseye, bookworm, trixie, sid y otras ramas.
Para otras distribuciones, revisa las páginas oficiales de seguridad o repositorios de Ubuntu, Red Hat, SUSE, Arch, Alpine, etc.

No evalúes la seguridad solo por la versión upstream del kernel. Las distribuciones hacen backport de correcciones, por lo que un mismo número de versión aparente puede representar estados de parche diferentes.

Qué máquinas priorizar

Orden recomendado de prioridad:

Servidores multiusuario y hosts compartidos.
Bastiones, máquinas de enseñanza, equipos de desarrollo y otros sistemas con cuentas shell normales.
CI runners, máquinas de build y nodos de plataformas de hosting.
Hosts de contenedores y virtualización, sobre todo donde conviven workloads no completamente confiables.
Máquinas con servicios públicos. La vulnerabilidad requiere acceso local, pero el riesgo se combina si un bug web, RCE, contraseña débil u otro camino da al atacante un punto de apoyo de bajo privilegio.

Los escritorios de un solo usuario tienen un riesgo relativamente menor, pero aun así deberían actualizarse con el sistema. La ejecución local de código con bajo privilegio no es rara en escritorios, a través de navegadores, herramientas de desarrollo, scripts y software de terceros.

Recomendaciones de corrección

La solución preferida es instalar el kernel corregido que entrega la distribución y reiniciar.

Los comandos cambian por distribución, pero el principio es el mismo:

Actualizar metadatos de paquetes.
Instalar el paquete kernel que contiene la corrección de CVE-2026-46333.
Reiniciar en el kernel nuevo.
Usar uname -r y el aviso de seguridad de la distribución para verificar que el kernel en ejecución está corregido.

El aviso de AlmaLinux indica que los kernels corregidos están disponibles en repositorios de producción y que los usuarios pueden ejecutar el dnf upgrade habitual y reiniciar. Debian tracker también lista fixed versions para varias ramas.

Importante: si solo instalas un paquete kernel nuevo pero no reinicias, el kernel antiguo vulnerable sigue ejecutándose.

Mitigación temporal: endurecer ptrace_scope

Si no puedes reiniciar de inmediato, endurece primero ptrace_scope de Yama.

Qualys confirmó en una respuesta posterior en oss-security que configurar /proc/sys/kernel/yama/ptrace_scope en 2 (admin-only attach) o 3 (no attach) bloquea las rutas públicas de explotación que conocen. También aclararon que, en teoría, podrían existir otros métodos de explotación, por lo que esto es una mitigación, no una corrección.

Configuración temporal:

`1`	`sudo sysctl -w kernel.yama.ptrace_scope=3`

Configuración persistente:

`1`	`echo 'kernel.yama.ptrace_scope = 3' \| sudo tee /etc/sysctl.d/99-ssh-keysign-pwn.conf`

ptrace_scope=3 desactiva ptrace attach y puede afectar flujos de depuración como gdb y strace -p. Si necesitas depuración en producción, evalúa 2. En cualquier caso, agenda la actualización de kernel y el reinicio cuanto antes.

¿Hay que rotar claves host SSH?

Conviene adoptar una postura conservadora si la máquina tenía alguna de estas condiciones durante la ventana de exposición:

Usuarios locales no confiables.
Hosting compartido o entornos multi-tenant de contenedores/CI.
Vulnerabilidades web, contraseñas débiles, scripts de cadena de suministro u otros caminos que puedan dar un punto de apoyo local.
Procesos locales sospechosos, comportamiento de depuración anómalo o archivos PoC públicos en logs.
Exposición prolongada antes de aplicar la corrección.

Una respuesta conservadora incluye:

Rotar SSH host keys después de parchear y reiniciar.
Actualizar sistemas de gestión de huellas de hosts conocidos.
Notificar a automatizaciones que dependan de esa huella de host.
Revisar alertas de conexión SSH para no confundir cambios legítimos de huella con ataques de intermediario, ni ignorar riesgos reales.

Si sospechas que /etc/shadow se filtró, evalúa también restablecimiento de contraseñas, prohibición de contraseñas débiles y revisión de hashes antiguos que puedan crackearse offline.

Qué monitorear

La ventana de explotación es breve, así que los logs tradicionales podrían no capturarlo todo. Aun así, revisa:

Archivos como ssh-keysign-pwn, chage_pwn o artefactos PoC similares en directorios de usuarios normales.
Actividad de compilación sospechosa, como programas C desconocidos compilados en poco tiempo.
Señales de acceso anómalo a /etc/ssh/ssh_host_*_key o /etc/shadow.
Actividad inusual de pidfd_getfd, ptrace o depuradores.
Reportes externos de cambios inesperados en la huella del host SSH.

Estas señales no prueban que hubo explotación, y su ausencia tampoco prueba que no la hubo. Las prioridades reales siguen siendo parchear, reiniciar, rotar credenciales y aislar el riesgo.

Malentendidos comunes

Primero: no es una vulnerabilidad remota de OpenSSH. El nombre incluye ssh-keysign, pero la causa raíz está en la lógica de comprobación de acceso ptrace del Linux kernel, no en el flujo de autenticación remota de sshd.

Segundo: no tener usuarios locales no elimina todo el riesgo. La vulnerabilidad sí requiere ejecución local, pero muchas cadenas reales obtienen primero un punto de apoyo local de bajo privilegio mediante servicios web, CI, scripts, contraseñas débiles o escapes de contenedor.

Tercero: configurar ptrace_scope no basta. Es una mitigación temporal, no una corrección raíz. La actualización del kernel y el reinicio siguen siendo necesarios.

Cuarto: no haber obtenido root no significa que no haya incidente. La filtración de claves privadas de host SSH o /etc/shadow puede bastar para movimiento lateral, suplantación de host y cracking offline.

Checklist de respuesta

Orden recomendado:

Inventariar hosts Linux afectados, especialmente entornos multiusuario y compartidos.
Revisar avisos oficiales de seguridad de la distribución e identificar la fixed kernel version.
Instalar el kernel corregido y reiniciar.
En máquinas que no puedan reiniciarse de inmediato, configurar kernel.yama.ptrace_scope=2 o 3.
Verificar la versión del kernel en ejecución después de la corrección.
Rotar SSH host keys en máquinas de alto riesgo.
Si se sospecha exposición de /etc/shadow, evaluar restablecimiento de contraseñas y auditoría de cuentas.
Buscar PoCs públicos, compilaciones anómalas y comportamiento local de depuración sospechoso.

Resumen

ssh-keysign-pwn (CVE-2026-46333) es una vulnerabilidad local de filtración de información causada por lógica relacionada con __ptrace_may_access() en el Linux kernel. No permite entrar remotamente de forma directa y no concede una shell de root directa, pero puede permitir que un usuario local de bajo privilegio lea archivos sensibles de alto valor. Eso la vuelve especialmente importante en entornos multiusuario, hosting compartido, CI y hosts de contenedores.

La corrección fiable es actualizar al kernel corregido de la distribución y reiniciar. ptrace_scope=2/3 puede servir como mitigación temporal, pero no reemplaza el parche. En hosts críticos expuestos durante la ventana de riesgo, también conviene evaluar rotación de claves host SSH y riesgo de contraseñas.

Referencias:

Cómo comprobar CVE-2026-42945: condiciones de Nginx Rift, revisión de versiones y recomendaciones de actualización

Fri, 15 May 2026 17:55:42 +0800

CVE-2026-42945 es una vulnerabilidad de seguridad en NGINX Open Source y NGINX Plus. También se la conoce como Nginx Rift. El problema está en ngx_http_rewrite_module, y el tipo de vulnerabilidad es heap-based buffer overflow.

Este tipo de noticia se convierte con facilidad en titulares como “oculta durante 18 años”, “control remoto sin contraseña” o “30% de servidores afectados”. Esas frases se propagan bien, pero al leer los parches y la descripción de NVD conviene separar el riesgo en hechos concretos: el problema es grave y no requiere una cuenta iniciada; pero no todos los Nginx quedan comprometidos automáticamente. Para activarlo hacen falta condiciones específicas de configuración rewrite y de solicitud.

Empezar por la descripción oficial

La descripción de NVD para CVE-2026-42945 puede resumirse así:

Afecta a NGINX Plus y NGINX Open Source.
La vulnerabilidad está en ngx_http_rewrite_module.
El problema puede activarse cuando una directiva rewrite va seguida de rewrite, if o set, se usan grupos de captura PCRE sin nombre como $1 y $2, y la cadena de reemplazo contiene un signo de interrogación ?.
Un atacante no autenticado puede enviar una solicitud construida para activar la vulnerabilidad.
El resultado puede ser un heap buffer overflow y el reinicio de un proceso worker de NGINX.
Si ASLR está desactivado en el sistema, la ejecución de código es posible.

F5, como CNA, asigna estas puntuaciones:

CVSS v4.0: 9.2, Critical.
CVSS v3.1: 8.1, High.
CWE: CWE-122 Heap-based Buffer Overflow.

Así que no se trata de un caso normal de “mala configuración que causa un 404”. Es una vulnerabilidad de seguridad de memoria cubierta por una corrección oficial de Nginx.

Qué afirmaciones necesitan contexto

Primero, “sin contraseña” debe entenderse como ataque no autenticado. Es decir, el atacante no necesita entrar a un panel de administración de Nginx, obtener SSH ni tener una cuenta de la aplicación. Pero eso no significa que cualquier Nginx expuesto a internet pueda tomarse sin más.

Segundo, “control remoto directo” depende de las condiciones. La formulación oficial más prudente es que la vulnerabilidad puede causar reinicios de procesos worker; en sistemas donde ASLR está desactivado, la ejecución de código es un resultado posible. En entornos con ASLR activado, endurecimiento de compilación de la distribución y permisos de ejecución restringidos, la ruta de riesgo es más compleja.

Tercero, “30% de servidores afectados” no debe interpretarse como “toda la cuota de mercado de Nginx equivale a superficie expuesta”. La exposición real depende de la versión, de si el módulo afectado está presente, de si existe la configuración rewrite concreta, de si la distribución ya aplicó backport del parche y del estado de endurecimiento del entorno donde corre Nginx.

La forma más precisa de decidirlo es sencilla: si ejecutas Nginx en producción, revísalo pronto; pero no decidas si estás afectado solo por el porcentaje de un titular.

Cómo determinar el alcance afectado

Según la información de publicación de nginx.org, las versiones nginx-1.30.1 stable y nginx-1.31.0 mainline publicadas el 13 de mayo de 2026 incluyen varias correcciones de seguridad, entre ellas el buffer overflow de ngx_http_rewrite_module registrado como CVE-2026-42945.

Si usas código fuente oficial de Nginx o paquetes oficiales, prioriza:

NGINX Open Source stable: actualizar a 1.30.1 o posterior.
NGINX Open Source mainline: actualizar a 1.31.0 o posterior.
NGINX Plus: revisar la versión corregida para la rama correspondiente de F5.

Si usas Debian, Ubuntu, RHEL, AlmaLinux, Rocky Linux, Alpine, imágenes de contenedor, Plesk, paneles de control, Ingress Controller o componentes administrados por un proveedor cloud, no mires solo la versión upstream que muestra nginx -v. Muchas distribuciones aplican backport de parches de seguridad a versiones antiguas de paquetes. La cadena de versión puede parecer vieja aunque el parche ya esté incorporado.

Comprobación de urgencia en un minuto

Usa estas preguntas para clasificar el riesgo rápidamente:

¿Este Nginx está expuesto directamente a internet, o forma parte de un API Gateway, proxy inverso, balanceador de carga o capa de entrada Ingress?
¿Usas paquetes oficiales de Nginx, compilaciones desde código fuente, paneles de terceros o imágenes de contenedor sin haber confirmado el estado de corrección de CVE-2026-42945?
¿La configuración contiene reglas rewrite complejas, especialmente rewrite, if o set consecutivos y capturas sin nombre como $1 y $2?
¿Algún destino rewrite incluye rutas de solicitud, parámetros de consulta u otra entrada controlada por el usuario?
¿El sistema está poco endurecido, por ejemplo con ASLR desactivado, workers con demasiados privilegios o permisos de contenedor demasiado amplios?

Si se cumplen los dos primeros puntos y todavía no se revisó la configuración rewrite, trátalo como alta prioridad. Los puntos de entrada públicos, entornos compartidos, Kubernetes Ingress, proxies de borde y Nginx que transportan tráfico de login o API deben actualizarse o sustituirse primero por paquetes con corrección confirmada.

Cómo confirmar la corrección en Debian / Ubuntu / RHEL / Alpine

Los usuarios de distribuciones no deben mirar solo nginx -v. Debian, Ubuntu, RHEL, AlmaLinux, Rocky Linux y Alpine suelen aplicar backport de parches de seguridad a ramas estables, así que la versión visible puede seguir siendo inferior a 1.30.1 o 1.31.0 de nginx.org.

En Debian / Ubuntu, revisa advisories de seguridad, changelog del paquete y candidatos de actualización:

nginx -v
nginx -V
apt list --upgradable | grep nginx
apt changelog nginx | grep -i "CVE-2026-42945"

En RHEL / AlmaLinux / Rocky Linux, revisa actualizaciones de seguridad y changelog del paquete:

1
2

yum updateinfo list security | grep -i nginx
rpm -q --changelog nginx | grep -i "CVE-2026-42945"

En Alpine, revisa la versión instalada y las actualizaciones de la rama de seguridad:

1
2

apk info -v nginx
apk version -v nginx

Si el gestor de paquetes, el advisory de la distribución o el advisory del proveedor dice explícitamente que CVE-2026-42945 está corregido, puedes tratarlo como backport aplicado aunque el número de versión upstream parezca antiguo. A la inversa, si la versión parece alta pero el origen no está claro, confirma igualmente la fecha de compilación y el origen del parche.

Cómo comprobar imágenes de contenedor e Ingress Controller

En entornos de contenedores, revisa el Nginx dentro de la imagen, no solo el host. Primero confirma la versión realmente incluida:

1
2

docker run --rm your-nginx-image nginx -v
docker run --rm your-nginx-image nginx -V

También revisa si la imagen base fue actualizada. Si la imagen se construye sobre Debian, Ubuntu, Alpine o paquetes de distribución, el criterio vuelve a ser el advisory y el changelog de esa distribución. Reiniciar una imagen vieja no sirve; la imagen en sí debe reconstruirse o reemplazarse.

En Kubernetes Ingress, confirma tres cosas:

Si el proyecto Ingress Controller publicó un advisory o una versión corregida para CVE-2026-42945.
Si el digest de la imagen del controller que corre en el clúster realmente cambió, no solo el tag.
Si la versión de Nginx integrada, los parámetros de compilación y la configuración de plantillas del controller siguen conteniendo reglas rewrite de alto riesgo.

Puedes empezar revisando la imagen en ejecución:

1
2

kubectl -n ingress-nginx get pods -o wide
kubectl -n ingress-nginx describe pod <pod-name> | grep -i image

Si usas un Ingress o gateway administrado por un proveedor cloud, revisa también el advisory del servicio correspondiente. Los componentes administrados normalmente no se corrigen con un apt upgrade ejecutado por el usuario; necesitas la corrección del proveedor o cambiar a una versión ya corregida.

Qué patrones rewrite merecen atención

Esta vulnerabilidad está relacionada con la configuración rewrite. Empieza buscando en la configuración de Nginx:

1
2

grep -R "rewrite" /etc/nginx -n
grep -R "\\$[0-9]" /etc/nginx -n

Presta atención a patrones como este:

`1`	`rewrite ^/old/(.*)$ /new/$1? permanent;`

Las capturas sin nombre como $1 y $2, junto con el ? en el destino de reemplazo, forman parte de las condiciones clave descritas por las fuentes oficiales. Durante la revisión, presta especial atención a:

Un rewrite seguido de otro rewrite, if o set.
Capturas amplias como (.*) o (.+) reutilizadas como $1 o $2.
Destinos rewrite que contienen ? para añadir o descartar parámetros de consulta.
Entradas rewrite que provienen de rutas públicas, Host, URI, parámetros o valores controlados por upstream.
Reglas rewrite generadas por paneles, gateways, anotaciones de Ingress o plantillas.

Si no puedes actualizar de inmediato, aplica mitigaciones temporales:

Reducir reglas rewrite complejas.
Sustituir capturas sin nombre por capturas con nombre más claras.
Evitar concatenar ? innecesarios en cadenas de reemplazo.
Añadir reglas WAF o de proxy inverso para entradas de alto riesgo.
Confirmar que ASLR está activado.
Reducir privilegios de los workers de Nginx y verificar systemd sandbox, SELinux/AppArmor y otros endurecimientos.

Estas medidas son mitigaciones, no sustituyen al parche.

Prioridad de remediación

Prioriza por superficie expuesta:

Puntos de entrada Nginx expuestos a internet.
Proxies inversos, API Gateway y gateways de borde.
Nginx en entornos multiinquilino.
Kubernetes Ingress Controller.
Plesk, paneles de control, imágenes de marketplace cloud y otros componentes que incluyen Nginx.
Nginx internos que transportan tráfico crítico de negocio.

Cómo verificar después de actualizar: nginx -t, reload y estado de workers

Después de actualizar, no te quedes solo con el mensaje de éxito del gestor de paquetes. Confirma que la configuración, los procesos y el binario real ya cambiaron. Primero valida la configuración:

`1`	`nginx -t`

Si no hay errores, recarga de forma suave:

`1`	`systemctl reload nginx`

Si la actualización del paquete sustituyó el binario, confirma que los workers antiguos salieron:

`1`	`ps aux \| grep nginx`

También puedes revisar la hora de inicio del proceso master y la ruta del binario para asegurarte de que el servicio en ejecución no sea un proceso antiguo que sigue residente. Si hace falta, programa una ventana de mantenimiento y reinicia el servicio para evitar que workers o contenedores antiguos sigan procesando solicitudes.

En contenedores e Ingress, confirma también que el rollout de la nueva imagen se completó de verdad:

1
2

kubectl -n ingress-nginx rollout status deployment/<deployment-name>
kubectl -n ingress-nginx get pods -o wide

La verificación clave no es “el comando se ejecutó”, sino “el tráfico en producción ya lo atienden procesos Nginx que incluyen la corrección”.

No ignores el mismo lote de correcciones de Nginx

Las versiones 1.30.1 y 1.31.0 publicadas por nginx.org el mismo día no solo corrigen CVE-2026-42945. La información de publicación también menciona HTTP/2 request injection, SCGI/uWSGI buffer overread, charset module buffer overread, HTTP/3 address spoofing, OCSP resolver use-after-free y otros problemas.

Eso significa que un entorno de producción no debería limitarse a una regla temporal para un solo CVE. Conviene tratar esta ronda de seguridad de Nginx como una actualización completa.

Resumen

El punto clave de CVE-2026-42945 no es “todos los Nginx pueden tomarse al instante”. Es una vulnerabilidad de seguridad de memoria presente durante mucho tiempo en el módulo rewrite, que puede activarse mediante solicitudes no autenticadas bajo configuraciones concretas. El resultado directo más claro es el fallo y reinicio de workers; en entornos más débiles, como sistemas con ASLR desactivado, el riesgo de ejecución de código aumenta.

Para equipos de operaciones, el orden de actuación es simple:

Confirmar el origen y la versión de Nginx.
Revisar advisories de la distribución, F5, nginx.org o proveedor cloud.
Actualizar cuanto antes a una versión corregida o a un paquete de seguridad de la distribución.
Revisar configuraciones rewrite complejas, especialmente combinaciones de $1, $2 y ?.
Confirmar ASLR, aislamiento de privilegios y estado de recarga del servicio.

El titular puede asustar. La corrección debe ser tranquila: confirmar exposición, actualizar y después limpiar reglas rewrite de alto riesgo.

Referencias

Dirty Frag, Copy Fail y Fragnesia: comparación de tres fallos recientes de escalada local en Linux

Fri, 15 May 2026 13:24:04 +0800

En las últimas semanas han aparecido varias vulnerabilidades de escalada local de privilegios en el kernel de Linux: Dirty Frag, Copy Fail y Fragnesia. Parecen parte de una misma familia porque el resultado final es parecido: un usuario local con pocos privilegios podría convertirse en root.

Pero desde el punto de vista operativo no conviene tratarlas como una sola vulnerabilidad. Sus módulos de entrada, rutas de activación, mitigaciones y ritmos de parcheo son distintos. Una lectura más precisa es que exponen un riesgo común en la frontera compleja entre la caché de páginas de Linux, splice, socket buffers y rutas criptográficas.

Este artículo solo analiza riesgos y respuesta. No incluye pasos reproducibles de explotación.

Qué Es Cada Vulnerabilidad

Dirty Frag: CVE-2026-43284

Dirty Frag apunta principalmente a un problema de escritura en la caché de páginas dentro de la ruta de red del kernel de Linux. En los análisis públicos suele aparecer junto con dos problemas: el lado xfrm-ESP, CVE-2026-43284, y el lado rxrpc, CVE-2026-43500.

CVE-2026-43284 está relacionado con el descifrado in-place cuando ESP maneja fragmentos skb compartidos. La clave no es que el atacante modifique directamente un archivo en disco, sino que el kernel escribe en páginas compartidas que no debería modificar y termina afectando el contenido del archivo en la caché de páginas.

Desde operaciones, lo importante es recordar que Dirty Frag toca esp4, esp6 y rxrpc, un conjunto de módulos del kernel y rutas del subsistema de red. Está ligado a IPsec, ESP y RxRPC, por lo que la mitigación temporal también gira alrededor de esos módulos.

Copy Fail: CVE-2026-31431

Copy Fail es una vulnerabilidad de escalada local de privilegios en el kernel de Linux divulgada por Theori / Xint Code. Su entrada no está en la ruta de red de IPsec, sino en la API criptográfica de espacio de usuario del kernel alrededor de algif_aead / AF_ALG.

Las explicaciones públicas la atribuyen a una optimización in-place introducida en 2017. En algunos casos, el kernel no copiaba datos como se esperaba y colocaba páginas de la caché en una ruta de destino escribible. Un atacante puede combinar AF_ALG con splice() para realizar una pequeña escritura controlada sobre páginas respaldadas por la caché.

Su riesgo está en la alta explotabilidad y en el impacto sobre varias distribuciones principales. A diferencia de Dirty Frag, la mitigación temporal de Copy Fail se centra en restringir o desactivar algif_aead, y en limitar la creación de sockets AF_ALG en entornos de contenedores y CI.

Fragnesia: CVE-2026-46300

Fragnesia es otra vulnerabilidad de escalada local de privilegios en el kernel de Linux divulgada por V12 Security, dentro de una superficie de ataque parecida a Dirty Frag. No es el mismo bug que Dirty Frag, pero sigue girando alrededor de módulos relacionados con IPsec ESP / rxrpc y efectos de escritura en la caché de páginas.

AlmaLinux la describe como el tercer problema de local-root en la misma zona amplia del código. El punto clave es que skb_try_coalesce() no conservaba correctamente el marcador de fragment compartido al combinar fragmentos de socket buffer, lo que podía permitir que la ruta de recepción XFRM ESP-in-TCP descifrara in-place sobre páginas externas de la caché.

En resumen, Fragnesia está más cerca de Dirty Frag. Ambas giran alrededor de esp4, esp6, rxrpc, fragmentos skb y rutas de descifrado ESP. Sus mitigaciones temporales también se solapan bastante.

Similitudes: Por Qué Son Peligrosas

El punto común no es que el código exacto esté en el mismo lugar, sino que el resultado del ataque y el modelo de riesgo son muy parecidos.

Primero, las tres son escaladas locales de privilegios. Normalmente el atacante necesita primero ejecutar código local como usuario normal y luego intentar convertirse en root. En un escritorio de un solo usuario no es una intrusión remota de un clic; en servidores multiusuario, CI runners, hosts de contenedores, máquinas de desarrollo compartidas y VPS con SSH expuesto, las entradas de bajo privilegio no son raras.

Segundo, las tres se relacionan con escrituras en la caché de páginas. El atacante no siempre modifica de forma permanente el archivo en disco; puede afectar la copia en memoria. Esto reduce la fiabilidad de las revisiones tradicionales de integridad: el hash del disco puede parecer normal mientras la ruta de ejecución lee contenido contaminado desde la caché.

Tercero, se parecen más a bugs lógicos deterministas que a condiciones de carrera sensibles al tiempo. Los materiales públicos insisten en que no requieren ganar una race condition. Los defensores no deberían subestimar la fiabilidad de explotación por experiencia con fallos más antiguos.

Cuarto, amplifican el riesgo en entornos de contenedores y automatización. Código de bajo privilegio dentro de contenedores, jobs de CI, scripts de compilación o plugins de terceros puede convertir un “problema local” en un problema de plataforma si alcanza las interfaces relevantes del kernel del host.

Diferencias: Una Mitigación No Cubre Todo

La mayor diferencia está en el módulo de entrada.

La entrada crítica de Copy Fail es algif_aead / AF_ALG, parte de la API criptográfica de espacio de usuario del kernel. Su defensa temporal se centra en desactivar o restringir algif_aead, y usar seccomp para impedir que los contenedores creen sockets AF_ALG.

La entrada crítica de Dirty Frag está en xfrm-ESP y rxrpc. Está más cerca de las rutas de protocolo y manejo de socket buffers. La defensa temporal suele considerar desactivar esp4, esp6 y rxrpc, pero eso puede afectar IPsec, VPN, túneles o capacidades de red relacionadas.

Fragnesia también está en una zona cercana a Dirty Frag, pero el problema concreto es que skb_try_coalesce() no conservaba el marcador de fragment compartido. Es más bien otra rama de la superficie de riesgo de Dirty Frag, no un problema de la API criptográfica de Copy Fail.

Por eso, haber tratado Copy Fail no significa que Dirty Frag y Fragnesia estén cubiertas. Del mismo modo, desactivar esp4 / esp6 no elimina automáticamente Copy Fail. Hay que confirmar por separado el estado de parches y la estrategia de mitigación.

Cómo Evaluar la Exposición

Para estas vulnerabilidades no basta con mirar el nombre de la distribución ni la versión mayor del kernel. Las distribuciones hacen backport de correcciones, los proveedores cloud mantienen ramas propias del kernel y las distribuciones empresariales pueden llevar parches adicionales.

Un orden más seguro es:

Revisar el aviso de seguridad de la distribución y el changelog del paquete del kernel.
Confirmar si el paquete de kernel actual corrige el CVE correspondiente.
En servidores cloud, hosts de contenedores y nodos de CI, revisar también avisos del proveedor o de la plataforma.
Para mitigaciones temporales, confirmar si el negocio depende del módulo afectado.
Después de actualizar el kernel, programar reinicio y comprobar que el kernel en ejecución cambió.

La trampa más común es “el paquete está actualizado, pero la máquina no se reinició”. Las vulnerabilidades del kernel no son como actualizaciones de servicios de espacio de usuario. Hasta arrancar con el nuevo kernel, el kernel viejo puede seguir ejecutándose.

Prioridad Operativa

Los sistemas más urgentes no son todas las máquinas Linux por igual. Hay que empezar donde es más probable que exista ejecución de código con pocos privilegios.

Entornos de prioridad alta:

Servidores de login multiusuario
CI / CD runners
Máquinas de compilación y empaquetado de artefactos
Hosts de contenedores y nodos Kubernetes
Máquinas de desarrollo compartidas
Servidores cloud y VPS con SSH expuesto
Plataformas que ejecutan scripts, plugins o colas de tareas de terceros
Máquinas con vulnerabilidades web, contraseñas débiles o señales históricas de compromiso

Las máquinas cerradas, de un solo usuario y sin entrada externa de ejecución de código siguen teniendo riesgo si son vulnerables, pero normalmente pueden ir después.

Cómo Entender la Mitigación Temporal

La mitigación temporal no reemplaza al parche. Su valor es reducir la exposición cuando no se puede reiniciar de inmediato o mientras se esperan paquetes de la distribución.

Para Copy Fail, el foco está en algif_aead y AF_ALG. Si el negocio no usa la interfaz criptográfica AF_ALG del kernel, se puede evaluar desactivar el módulo relacionado. En contenedores, conviene revisar primero las políticas seccomp para que cargas no confiables no puedan crear libremente el socket correspondiente.

Para Dirty Frag y Fragnesia, el foco está en esp4, esp6 y rxrpc. Si el sistema no depende de IPsec ESP, VPN relacionadas, túneles o RxRPC, se puede evaluar una desactivación temporal. No debe hacerse a ciegas en producción porque esos módulos pueden sostener cargas de red reales.

El camino final sigue siendo actualizar el kernel. La mitigación temporal reduce superficie de ataque, pero no demuestra que el sistema sea completamente seguro.

Qué Nos Dicen Estos Tres Fallos

La advertencia importante no es solo el número de CVE. Estos fallos se concentran en rutas del kernel muy complejas: zero-copy, splice, socket buffers, caché de páginas, interfaces criptográficas y optimizaciones de pila de protocolos.

Estas rutas dan grandes beneficios de rendimiento, pero también vuelven más difícil mantener los límites de propiedad. Si un fragment está compartido, si una página puede escribirse in-place o si una optimización realmente solo reduce copias se convierte en parte del límite de seguridad.

Para equipos de seguridad y operaciones, las conclusiones son prácticas:

Tratar la escalada local de privilegios como un amplificador de entradas ya existentes de bajo privilegio.
Los contenedores no son una frontera natural de aislamiento frente a vulnerabilidades del kernel.
Las revisiones de integridad no pueden mirar solo el contenido del disco.
CI, máquinas de compilación y plataformas de plugins deben ser activos de alta prioridad.
En parches de kernel hay que verificar tanto “instalado” como “en ejecución”.

Resumen

Dirty Frag, Copy Fail y Fragnesia son eventos recientes de alta prioridad en la escalada local de privilegios de Linux, pero no son tres nombres del mismo fallo.

Copy Fail pasa por la ruta criptográfica algif_aead / AF_ALG. Dirty Frag pasa por xfrm-ESP y rxrpc. Fragnesia, en una superficie cercana a Dirty Frag, vuelve a disparar riesgo de escritura en la caché de páginas por el manejo de marcadores de fragmentos skb.

La respuesta más sólida es actualizar el kernel según los avisos de la distribución y reiniciar. En sistemas que no puedan actualizarse de inmediato, evaluar la desactivación temporal de módulos o reglas seccomp más estrictas según la entrada real de cada vulnerabilidad. Priorizar entornos multi-tenant, CI, hosts de contenedores y desarrollo compartido.

Referencias:

Notas de Theori sobre Copy Fail: https://github.com/theori-io/copy-fail-CVE-2026-31431
Aviso de CERT-EU sobre Copy Fail: https://cert.europa.eu/publications/security-advisories/2026-005/
Notas de AlmaLinux sobre Dirty Frag: https://almalinux.org/blog/2026-05-07-dirty-frag/
Notas de AlmaLinux sobre Fragnesia: https://almalinux.org/blog/2026-05-13-fragnesia-cve-2026-46300/
Notas del PoC de V12 Security sobre Fragnesia: https://github.com/v12-security/pocs/tree/main/fragnesia

Fragnesia (CVE-2026-46300): impacto y mitigación de una escalada local de privilegios en el kernel de Linux

Fri, 15 May 2026 13:18:01 +0800

El kernel de Linux acaba de sumar otra vulnerabilidad de escalada local de privilegios en una superficie de ataque cercana a Dirty Frag: Fragnesia (CVE-2026-46300).

Según la divulgación de V12 Security, Fragnesia es una vulnerabilidad local de Linux. El atacante no necesita privilegios elevados previos en el host. Si puede ejecutar código local, podría aprovechar un fallo lógico en el subsistema XFRM ESP-in-TCP del kernel para modificar, byte a byte, contenido de archivos de solo lectura a través de la caché de páginas y terminar obteniendo un root shell.

Fuente:

Notas del PoC de V12 Security: https://github.com/v12-security/pocs/blob/main/fragnesia/README.md

Este artículo no cubre pasos reproducibles de explotación. Se centra en los riesgos y la respuesta operativa.

Relación con Dirty Frag

V12 Security clasifica Fragnesia dentro de la familia de vulnerabilidades Dirty Frag. No es el mismo bug que Dirty Frag, sino otro problema en una superficie de ataque relacionada: XFRM ESP-in-TCP en el kernel de Linux.

XFRM es el marco del kernel de Linux para procesar IPsec. ESP-in-TCP está relacionado con transportar tráfico ESP cifrado sobre TCP. El problema de Fragnesia está en la lógica de fragmentos de página compartidos y la combinación de socket buffers: en ciertas condiciones, el kernel puede perder la pista de que un fragment sigue compartido y dejar una zona de escritura controlable.

Este tipo de fallo recuerda a Dirty Pipe / Dirty Frag y otros problemas de escritura en la caché de páginas. El código concreto no es el mismo, pero el efecto vuelve a caer sobre la copia en caché de un archivo de solo lectura.

Por Qué Es Grave

Fragnesia es peligrosa por tres razones.

Primero, es una escalada local de privilegios. Si un atacante ya puede ejecutar código como usuario normal, podría elevarse a root. Esto es especialmente sensible en servidores multiusuario, hosts de contenedores, CI runners, máquinas de desarrollo compartidas, VPS y entornos que exponen acceso shell.

Segundo, no depende de una condición de carrera tradicional. Las notas de V12 describen una ruta que fuerza el procesamiento ESP-in-TCP sobre páginas de archivo ya incorporadas a un socket buffer mediante splice, lo que permite influir byte a byte en el contenido de la caché de páginas. Eso hace que el riesgo sea práctico, no solo teórico.

Tercero, modifica la caché de páginas, no el archivo en disco. El ejemplo público usa /usr/bin/su como objetivo. Tras una explotación correcta, el archivo en disco no queda modificado de forma permanente; el cambio vive en la memoria. Las revisiones que solo comparan hashes o integridad del disco pueden no ver nada extraño.

Ese es el punto incómodo para los administradores: el archivo parece intacto, pero al ejecutar la copia contaminada desde la caché de páginas puede activarse la escalada.

Alcance Conocido

V12 Security indica que los kernels afectados por Dirty Frag y sin los parches relevantes del 13 de mayo de 2026 también están afectados por Fragnesia. Los entornos verificados públicamente incluyen Ubuntu 22.04, Ubuntu 24.04 y kernels como 6.8.0-111-generic.

Hay dos matices importantes.

Primero, no basta con mirar la versión mayor de la distribución. Que Ubuntu 22.04 / 24.04 esté afectado depende del estado real de parches del kernel, no solo del nombre de la distribución.

Segundo, no conviene confiar únicamente en las restricciones predeterminadas de AppArmor para namespaces de usuario sin privilegios. En Ubuntu pueden elevar la barrera, pero la divulgación las trata como un problema adicional de bypass, no como una corrección del fallo.

La forma fiable de decidir sigue siendo revisar los avisos de seguridad de la distribución y las actualizaciones del paquete del kernel.

Mitigación Temporal

Si un sistema no puede actualizar el kernel de inmediato, primero hay que evaluar si depende de los módulos de protocolo relacionados.

La mitigación indicada por V12 es la misma que para Dirty Frag: si el sistema no depende de IPsec ESP ni de RxRPC, se puede evaluar desactivar módulos como esp4, esp6 y rxrpc. Esto puede afectar capacidades de red, así que no debe aplicarse a ciegas en producción. Antes hay que confirmar si el negocio usa IPsec, VPN, túneles o funciones relacionadas del kernel.

Un orden de respuesta más seguro es:

Confirmar si la distribución ya publicó una actualización de seguridad del kernel.
Instalar primero el parche del kernel y programar el reinicio.
Si no se puede actualizar de inmediato, evaluar la desactivación temporal de módulos.
Priorizar sistemas multiusuario y entornos de CI / compilación.
Revisar cuentas locales innecesarias, shell, superficie de escape de contenedores y entradas de ejecución de bajo privilegio.

No hay que tratar la desactivación de módulos como corrección final. Es una reducción temporal de exposición.

Si Se Sospecha Explotación

Una característica de Fragnesia es la contaminación de la caché de páginas. V12 señala que, tras la explotación, la copia del archivo objetivo en la caché puede contener contenido inyectado, y ejecuciones posteriores pueden seguir comportándose de forma anómala hasta que la página sea expulsada o el sistema se reinicie.

Si se sospecha que el sistema fue explotado, conviene al menos:

Preservar logs y registros de auditoría cuanto antes.
Revisar inicios de sesión locales anómalos, actividad de usuarios de bajo privilegio, procesos sospechosos y rastros de root shell.
Limpiar la caché de páginas relevante o reiniciar directamente.
Actualizar a un kernel corregido.
Verificar binarios críticos, pero sin depender solo de hashes del disco.
Rotar credenciales y claves potencialmente expuestas.

En servidores de producción, es mejor tratarlo como un posible incidente de escalada local de privilegios, no solo como una actualización rutinaria.

Qué Máquinas Priorizar

La prioridad no debe repartirse por igual entre todas las máquinas Linux. Hay que empezar por los lugares donde un atacante tiene más probabilidades de obtener ejecución de código con pocos privilegios.

Entornos de mayor prioridad:

Servidores de login multiusuario
CI / CD runners
Máquinas de compilación
Máquinas de desarrollo compartidas
Hosts de contenedores
VPS y servidores cloud
Nodos de borde con SSH expuesto
Plataformas que ejecutan scripts o plugins de terceros

Las máquinas cerradas, de un solo usuario y sin entrada externa de ejecución de código siguen teniendo riesgo si son vulnerables, pero la urgencia puede ser menor.

Resumen

Fragnesia merece atención no por tener un nombre nuevo, sino porque vuelve a llevar la escalada local de privilegios en Linux a una frontera compleja: la caché de páginas y los subsistemas de red del kernel.

Para administradores, lo importante no es estudiar los detalles de explotación, sino confirmar el estado de parches del kernel, evaluar si se depende de ESP / RxRPC, actualizar primero las máquinas más expuestas y entender que “el archivo en disco no cambió” no significa “el sistema no fue afectado”.

Si el sistema está afectado, la respuesta final sigue siendo instalar cuanto antes la actualización del kernel ofrecida por la distribución. Desactivar módulos temporalmente es solo una medida puente, no un reemplazo del parche.