Un solo comando y eres root: nueva vulnerabilidad en Linux permite control total sin fallos ni dejar rastro
La vulnerabilidad "Dirty Frag" afecta a gran parte del ecosistema Linux — aún no hay parches.
En Linux se encontró una nueva vulnerabilidad peligrosa que permite obtener privilegios de administrador con un solo comando. El problema recibió el nombre Dirty Frag y afecta a la mayoría de las distribuciones populares, incluidas Ubuntu, Red Hat Enterprise Linux, Fedora, AlmaLinux y openSUSE.
El especialista en seguridad Hyunwoo Kim descubrió que el fallo apareció en el kernel de Linux hace aproximadamente nueve años. La vulnerabilidad se ocultaba en la interfaz del algoritmo criptográfico algif_aead. Para el ataque, Dirty Frag combina a la vez dos errores del kernel relacionados con el mecanismo de caché de páginas de memoria. Con ellos, un atacante puede modificar archivos del sistema protegidos directamente en la memoria y elevar privilegios al nivel root.
Según declaraciones de Kim, Dirty Frag pertenece a la misma clase de vulnerabilidades que Dirty Pipe y Copy Fail, pero utiliza otro elemento de la estructura de datos del kernel de Linux. A diferencia de muchos ataques similares, la explotación no depende de una coincidencia temporal y no provoca un fallo del kernel si falla. Gracias a un mecanismo de funcionamiento predecible, la probabilidad de un ataque exitoso sigue siendo muy alta.
La vulnerabilidad aún no ha recibido un identificador CVE y las correcciones para la mayoría de distribuciones todavía no han salido. Kim publicó la descripción completa del problema y el código listo después de que fracasara el periodo de divulgación responsable. La causa fue la publicación por parte de una tercera persona que independientemente publicó un exploit funcional el 7 de mayo de 2026.
Como protección temporal, el desarrollador propuso deshabilitar los módulos vulnerables del kernel esp4, esp6 y rxrpc. El comando bloquea la carga de los módulos y los descarga de la memoria; sin embargo, tras aplicarlo dejarán de funcionar las conexiones VPN basadas en IPsec y el sistema de archivos distribuido AFS.
La nueva publicación surgió en medio de ataques en curso que utilizan otra vulnerabilidad de Linux: Copy Fail. La semana pasada, la Agencia de Ciberseguridad e Infraestructura de EE. UU. añadió Copy Fail al catálogo KEV y exigió a las agencias federales que protegieran los sistemas antes del 15 de mayo.
En abril, los desarrolladores de Linux también corrigieron la vulnerabilidad Pack2TheRoot en el servicio PackageKit. El fallo permaneció sin detectarse más de diez años y también permitía obtener privilegios root.