✨︎ Resumen (TL;DR):
- Un investigador descubrió una vulnerabilidad crítica que permite a usuarios locales obtener control total en distribuciones de Linux.
- El bug con registro CVE-2026-43284 afecta a versiones del kernel de los últimos nueve años y tiene una tasa de éxito casi absoluta.
- Al no existir un parche oficial, los administradores deben bloquear los módulos esp4, esp6 y rxrpc de emergencia.
Un usuario local sin privilegios ahora puede obtener acceso total de administrador en casi cualquier distribución de Linux gracias a Dirty Frag. El investigador de seguridad Hyunwoo Kim descubrió esta vulnerabilidad de día cero que expone los sistemas al corromper archivos de solo lectura en la memoria. El problema se hizo público el 7 de mayo de 2026 tras la ruptura de un embargo de divulgación coordinada, obligando a las empresas a buscar medidas provisionales.
Kim, conocido como @v4bel, detalló que la falla encadena dos errores de escritura de caché de páginas. El primero reside en la ruta de recepción xfrm-ESP (IPsec) del kernel y el segundo en la capa de transporte RxRPC.
La técnica aprovecha la ruta de envío de cero copias del kernel, donde splice() planta una referencia a una página en caché dentro del espacio “frag” de un búfer de red. El código del lado del receptor realiza entonces operaciones criptográficas directamente sobre esa página, alterando los archivos como /usr/bin/su o /etc/passwd.
Dirty Frag es un bug de lógica determinista que no depende de ventanas de tiempo, a diferencia de los exploits de condición de carrera. Kim publicó en GitHub una prueba de concepto capaz de conseguir el control del equipo “con un solo comando”.
Embargo roto y mitigación temporal
Red Hat asignó el identificador CVE-2026-43284 para rastrear esta falla que compromete un historial de nueve años de versiones del kernel.
El reporte original llegó a security@kernel.org el 30 de abril. Para el 7 de mayo, Kim envió la documentación a la lista de correo linux-distros con un embargo fijado para el 12 de mayo. Horas más tarde, un tercero aplicó ingeniería inversa sobre una confirmación pública de netdev y liberó los detalles.
El autor responsable de romper el embargo publicó un repositorio llamado “Copy Fail 2: Electric Boogaloo” y justificó que su trabajo consistió en una “militarización estándar de un n-day” creada a partir de código público, negando cualquier filtración del proceso coordinado.
Sin parches disponibles para Ubuntu, Red Hat, Fedora, AlmaLinux, openSUSE o CentOS Stream, los administradores deben ejecutar acciones de bloqueo:
- Bloquear de forma provisional los tres módulos del kernel vulnerables: esp4, esp6 y rxrpc.
- Evaluar el impacto en los túneles IPsec, ya que el bloqueo interrumpe esta ruta de datos.
- CloudLinux aclaró que el módulo rxrpc no suele estar presente en servidores típicos de alojamiento web.
Dirty Frag aparece apenas una semana después de Copy Fail (CVE-2026-31431), un error de seguridad en el mismo subsistema. Kim confirmó que este nuevo vector de ataque funciona incluso en equipos donde la mitigación previa del bloqueo de algif_aead ya fue implementada, dejando a las redes vulnerables hasta la llegada del código definitivo de los proveedores.
