Una vulnerabilidad de un solo carácter en el kernel de Linux permite el acceso de administrador local; las vulnerabilidades ya son públicas.
Investigadores de seguridad han publicado un exploit detallado y funcional para una vulnerabilidad de uso después de la liberación de memoria del kernel de Linux que permite a un usuario local sin privilegios escalar a root y escapar de un contenedor.
La vulnerabilidad, identificada como CVE-2026-23111, reside en el código de filtrado de paquetes nf_tables del kernel y fue corregida en la rama principal (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f41c5d151078c5348271ffaf8e7410d96f2d82f8) el 5 de Febrero de 2026. Exodus Intelligence publicó su análisis técnico completo (https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/) el 8 de Junio, y ni siquiera es la primera vulnerabilidad pública: FuzzingLabs publicó una reproducción independiente (https://fuzzinglabs.com/repro-cve-2026-23111/) en Abril.
El fallo se debía a un único carácter erróneo, una comprobación invertida en nf_tables, y la corrección original lo eliminó en una sola línea. Ubuntu califica el fallo con CVSS 7.8 (alto). Si el paquete del kernel de tu distribución aún no incluye la corrección, actualiza y reinicia.
La configuración accesible es común: nf_tables más espacios de nombres de usuario sin privilegios, una característica de Linux que permite que una cuenta ordinaria actúe como root dentro de un entorno aislado privado y acceda al código del kernel al que de otro modo no podría acceder.
Ambas vulnerabilidades vienen instaladas por defecto en la mayoría de los equipos de escritorio y en muchas configuraciones de servidor. Por sí solas, no constituyen una vulnerabilidad de acceso remoto. Se trata de un fallo que un atacante aprovecha tras obtener acceso, convirtiendo una shell con privilegios limitados, un contenedor comprometido o una cuenta de servicio en acceso de administrador en el sistema anfitrión.
Oliver Sieber, investigador de Exodus, quien descubrió la vulnerabilidad a principios de 2025, la convirtió en una vulnerabilidad de acceso root local completo. Esta vulnerabilidad activa el uso de memoria liberada, sortea las protecciones de memoria integradas del kernel y, posteriormente, toma el control de la ejecución para obtener privilegios de root y escapar del espacio de nombres del contenedor.
Lo demostró en Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS y Ubuntu 24.04 LTS.
FuzzingLabs reprodujo el fallo en RHEL 10 antes de Pwn2Own Berlin 2026, creando su propio exploit de acceso root por una ruta diferente. El cronograma es ajustado: la solución se lanzó el 5 de Febrero, FuzzingLabs publicó el 16 de Abril y el informe detallado de Exodus se publicó el 8 de Junio.
Esta técnica ya está documentada en Debian, Ubuntu y Red Hat. Dado que el fallo se encuentra en la rama principal, cualquier distribución que haya distribuido un kernel vulnerable con ambas funciones habilitadas queda expuesta, a menos que las medidas de seguridad o las restricciones de espacio de nombres de la distribución bloqueen el acceso.
La vulnerabilidad CVE-2026-23111 se produce en medio de una intensa oleada de revelaciones de vulnerabilidades de root local en Linux. En las últimas semanas se han descubierto Copy Fail (https://thehackernews.com/2026/04/new-linux-copy-fail-vulnerability.html), la cadena Dirty Frag (https://thehackernews.com/2026/05/linux-kernel-dirty-frag-lpe-exploit.html), su variante Fragnesia (https://thehackernews.com/2026/05/new-fragnesia-linux-kernel-lpe-grants.html), DirtyDecrypt (https://thehackernews.com/2026/05/dirtydecrypt-poc-released-for-linux.html) y una vulnerabilidad de ptrace de nueve años de antigüedad (https://thehackernews.com/2026/05/9-year-old-linux-kernel-flaw-enables.html) que lee /etc/shadow y ejecuta comandos como root.
Difieren en los detalles, pero comparten la parte que debería preocupar a los defensores: un punto de acceso no privilegiado se convierte en acceso de administrador en instalaciones ordinarias.
Actualiza el kernel y reinicia. El error solo afecta al sistema local y requiere espacios de nombres de usuario sin privilegios, así que concéntrate primero en los sistemas que permiten que usuarios o cargas de trabajo no confiables los creen.
Ubuntu ofrece correcciones para las versiones 22.04, 24.04 y 25.10, y Debian corrigió Bookworm y Trixie, con una versión retrocompatible para Bullseye LTS 6.1. Red Hat, SUSE y Amazon Linux también monitorean la vulnerabilidad; consulta el aviso de tu distribución para encontrar el paquete del kernel que coincida con el tuyo, ya que la versión corregida exacta varía. La solución original consistió en una sola línea de código.
Hay una perspectiva más amplia. En un análisis reciente del aumento de LPE (https://www.synacktiv.com/en/publications/surviving-the-surge-of-new-linux-lpe-defense-in-depth-not-dead.html), Synacktiv vincula la velocidad con la investigación asistida por IA y la comparación de parches que permite que los exploits funcionales se difundan antes de que se propaguen las correcciones, y argumenta que el endurecimiento ordinario aún les da tiempo a los defensores.
La mayoría de estos fallos se basan en funciones opcionales del kernel o en configuraciones predeterminadas poco estrictas, por lo que restringir el acceso de los usuarios sin privilegios, en este caso los espacios de nombres de usuario, impide que se produzca la vulnerabilidad hasta que se aplique el parche.
No existen informes públicos de explotación en la práctica, y ningún actor malicioso ha sido vinculado a ella. El parche está disponible desde Febrero, y el código de explotación es público desde Abril.
Tomado de: https://thehackernews.com/2026/06/one-character-linux-kernel-flaw-enables.html
Que te diviertas!
Investigadores de seguridad han publicado un exploit detallado y funcional para una vulnerabilidad de uso después de la liberación de memoria del kernel de Linux que permite a un usuario local sin privilegios escalar a root y escapar de un contenedor.
La vulnerabilidad, identificada como CVE-2026-23111, reside en el código de filtrado de paquetes nf_tables del kernel y fue corregida en la rama principal (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f41c5d151078c5348271ffaf8e7410d96f2d82f8) el 5 de Febrero de 2026. Exodus Intelligence publicó su análisis técnico completo (https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/) el 8 de Junio, y ni siquiera es la primera vulnerabilidad pública: FuzzingLabs publicó una reproducción independiente (https://fuzzinglabs.com/repro-cve-2026-23111/) en Abril.
El fallo se debía a un único carácter erróneo, una comprobación invertida en nf_tables, y la corrección original lo eliminó en una sola línea. Ubuntu califica el fallo con CVSS 7.8 (alto). Si el paquete del kernel de tu distribución aún no incluye la corrección, actualiza y reinicia.
La configuración accesible es común: nf_tables más espacios de nombres de usuario sin privilegios, una característica de Linux que permite que una cuenta ordinaria actúe como root dentro de un entorno aislado privado y acceda al código del kernel al que de otro modo no podría acceder.
Ambas vulnerabilidades vienen instaladas por defecto en la mayoría de los equipos de escritorio y en muchas configuraciones de servidor. Por sí solas, no constituyen una vulnerabilidad de acceso remoto. Se trata de un fallo que un atacante aprovecha tras obtener acceso, convirtiendo una shell con privilegios limitados, un contenedor comprometido o una cuenta de servicio en acceso de administrador en el sistema anfitrión.
Oliver Sieber, investigador de Exodus, quien descubrió la vulnerabilidad a principios de 2025, la convirtió en una vulnerabilidad de acceso root local completo. Esta vulnerabilidad activa el uso de memoria liberada, sortea las protecciones de memoria integradas del kernel y, posteriormente, toma el control de la ejecución para obtener privilegios de root y escapar del espacio de nombres del contenedor.
Lo demostró en Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS y Ubuntu 24.04 LTS.
FuzzingLabs reprodujo el fallo en RHEL 10 antes de Pwn2Own Berlin 2026, creando su propio exploit de acceso root por una ruta diferente. El cronograma es ajustado: la solución se lanzó el 5 de Febrero, FuzzingLabs publicó el 16 de Abril y el informe detallado de Exodus se publicó el 8 de Junio.
Esta técnica ya está documentada en Debian, Ubuntu y Red Hat. Dado que el fallo se encuentra en la rama principal, cualquier distribución que haya distribuido un kernel vulnerable con ambas funciones habilitadas queda expuesta, a menos que las medidas de seguridad o las restricciones de espacio de nombres de la distribución bloqueen el acceso.
La vulnerabilidad CVE-2026-23111 se produce en medio de una intensa oleada de revelaciones de vulnerabilidades de root local en Linux. En las últimas semanas se han descubierto Copy Fail (https://thehackernews.com/2026/04/new-linux-copy-fail-vulnerability.html), la cadena Dirty Frag (https://thehackernews.com/2026/05/linux-kernel-dirty-frag-lpe-exploit.html), su variante Fragnesia (https://thehackernews.com/2026/05/new-fragnesia-linux-kernel-lpe-grants.html), DirtyDecrypt (https://thehackernews.com/2026/05/dirtydecrypt-poc-released-for-linux.html) y una vulnerabilidad de ptrace de nueve años de antigüedad (https://thehackernews.com/2026/05/9-year-old-linux-kernel-flaw-enables.html) que lee /etc/shadow y ejecuta comandos como root.
Difieren en los detalles, pero comparten la parte que debería preocupar a los defensores: un punto de acceso no privilegiado se convierte en acceso de administrador en instalaciones ordinarias.
Actualiza el kernel y reinicia. El error solo afecta al sistema local y requiere espacios de nombres de usuario sin privilegios, así que concéntrate primero en los sistemas que permiten que usuarios o cargas de trabajo no confiables los creen.
Ubuntu ofrece correcciones para las versiones 22.04, 24.04 y 25.10, y Debian corrigió Bookworm y Trixie, con una versión retrocompatible para Bullseye LTS 6.1. Red Hat, SUSE y Amazon Linux también monitorean la vulnerabilidad; consulta el aviso de tu distribución para encontrar el paquete del kernel que coincida con el tuyo, ya que la versión corregida exacta varía. La solución original consistió en una sola línea de código.
Hay una perspectiva más amplia. En un análisis reciente del aumento de LPE (https://www.synacktiv.com/en/publications/surviving-the-surge-of-new-linux-lpe-defense-in-depth-not-dead.html), Synacktiv vincula la velocidad con la investigación asistida por IA y la comparación de parches que permite que los exploits funcionales se difundan antes de que se propaguen las correcciones, y argumenta que el endurecimiento ordinario aún les da tiempo a los defensores.
La mayoría de estos fallos se basan en funciones opcionales del kernel o en configuraciones predeterminadas poco estrictas, por lo que restringir el acceso de los usuarios sin privilegios, en este caso los espacios de nombres de usuario, impide que se produzca la vulnerabilidad hasta que se aplique el parche.
No existen informes públicos de explotación en la práctica, y ningún actor malicioso ha sido vinculado a ella. El parche está disponible desde Febrero, y el código de explotación es público desde Abril.
Tomado de: https://thehackernews.com/2026/06/one-character-linux-kernel-flaw-enables.html
Que te diviertas!
Entradas
No hay comentarios:
Publicar un comentario