Desde fines de abril se han divulgado cinco vulnerabilidades de escalada local de privilegios en Linux, varias de ellas acompañadas de exploits públicos. Las fallas afectan distintos mecanismos del kernel y componentes de memoria, permitiendo que atacantes locales puedan obtener acceso root en múltiples distribuciones.
Durante las últimas semanas se ha conocido una inusual serie de vulnerabilidades de escalada local de privilegios (LPE) que impactan sistemas Linux y que han sido acompañadas por pruebas de concepto públicas. Los casos han sido revelados progresivamente en las últimas tres semanas, desde finales de abril, involucrando distintas técnicas de explotación orientadas a obtener privilegios root desde cuentas locales con bajos permisos. Las tres más reciente se han conocido en una semana, entre el miércoles 13 y el martes 19 de mayo.
Pintheft – 19 de mayo
La vulnerabilidad más reciente reportada corresponde a Pintheft, una técnica publicada por el investigador v12-security. El exploit apunta principalmente a sistemas Arch Linux y utiliza condiciones relacionadas con PINs y autenticación para facilitar la escalada de privilegios. El repositorio público del proyecto incluye requisitos, instrucciones de compilación y código de prueba para reproducir el ataque en entornos vulnerables.
De acuerdo con el especialista que reportó el incidente, PinTheft es una técnica de escalada local de privilegios en Linux que explota un fallo “double-free” en el subsistema RDS (Reliable Datagram Sockets) del kernel. El problema permite que un atacante local robe referencias de memoria del kernel y reutilice esas páginas para sobrescribir temporalmente archivos con privilegios elevados, como binarios SUID, obteniendo acceso root.
El exploit combina el fallo de RDS con io_uring, una interfaz de entrada/salida de alto rendimiento de Linux. Mediante este mecanismo, el atacante logra que el sistema mantenga referencias inválidas a páginas de memoria ya liberadas y luego reutiliza esas páginas para modificar la caché de archivos ejecutables privilegiados, como /usr/bin/su o pkexec. Al ejecutar el binario alterado, se obtiene una shell con privilegios root.
La técnica afecta principalmente sistemas donde el módulo RDS está habilitado, condición que, según los investigadores, ocurre por defecto principalmente en Arch Linux. Además, el ataque requiere que io_uring esté activo, que exista un binario SUID legible y compatibilidad con arquitecturas x86_64. Estas condiciones reducen el alcance inmediato, pero no eliminan el riesgo en entornos donde esos componentes están disponibles.
DirtyDecrypt – 16 de mayo
El 16 de mayo se reportó DirtyDecrypt, otra vulnerabilidad LPE acompañada de un exploit funcional. El proyecto también fue publicado en GitHub por v12-security y fue descrito como una nueva técnica para elevar privilegios mediante manipulación de operaciones internas relacionadas con memoria y descifrado dentro del kernel Linux. DirtyCBC es una variante de CopyFail, DirtyFrag y Fragnesia.
El repositorio público incluye archivos de compilación, instrucciones de uso y una implementación de prueba de concepto destinada a demostrar la obtención de privilegios root. BleepingComputer señaló que investigadores divulgaron “un exploit funcional para una nueva falla de escalada local de privilegios en Linux” (“a working exploit for a new Linux local privilege escalation flaw”, BleepingComputer).
Fragnesia – 13 de mayo
Días antes se divulgó Fragnesia, vulnerabilidad (CVE-2026-46300) reportada también por v12-security. El problema se relaciona con mecanismos de fragmentación y manejo de memoria del kernel Linux. La investigación incluyó una prueba de concepto pública para demostrar cómo los usuarios locales podían elevar privilegios hasta obtener acceso root.
En este caso, la técnica aprovecha un fallo lógico en el subsistema XFRM ESP-in-TCP de Linux para modificar archivos protegidos directamente en la caché de páginas del kernel, sin necesidad de condiciones de carrera. El problema pertenece a la misma categoría de errores que Dirty Pipe y permite alterar bytes específicos de archivos de solo lectura mediante manipulación de datos procesados como tráfico cifrado ESP.
El exploit utiliza una tabla de búsqueda para asociar bytes específicos con valores nonce que permiten escribir contenido arbitrario sobre archivos almacenados temporalmente en memoria. Como demostración, la técnica sobrescribe parcialmente /usr/bin/su con un pequeño payload ELF capaz de ejecutar /bin/sh con privilegios root. Los cambios afectan únicamente la caché de páginas del kernel y no modifican el archivo almacenado en disco.
En el repositorio asociado, los investigadores publicaron código orientado exclusivamente a validación y reproducción controlada del comportamiento vulnerable.
Dirty Frag – 6 de mayo
Otra de las fallas divulgadas fue Dirty Frag, descrita como un zero-day Linux con exploit público. El proyecto fue publicado por el investigador V4bel bajo el nombre dirtyfrag y fue descrita como una técnica de escalada local de privilegios que combina dos fallas del kernel relacionadas con los subsistemas xfrm-ESP y RxRPC.
El objetivo del exploit es permitir que un usuario local con pocos privilegios obtenga acceso root manipulando la caché de páginas del sistema, es decir, la versión en memoria de archivos protegidos.
La técnica pertenece a la misma familia de vulnerabilidades que Dirty Pipe y Copy Fail, ya que permite modificar temporalmente archivos de solo lectura directamente en memoria sin alterar el contenido guardado en disco.
Los investigadores recomendaron aplicar actualizaciones de kernel y, como mitigación temporal, deshabilitar módulos vulnerables relacionados con esp4, esp6 y rxrpc. También se advirtió que la técnica puede representar un riesgo importante en servidores compartidos, contenedores, entornos CI/CD y sistemas donde atacantes ya hayan obtenido acceso local inicial
Copy-on-Write “Copy Fail” – 30 de abril
La más antigua de las vulnerabilidades incluidas en esta serie corresponde a Copy Fail, divulgada a fines de abril y a la cual nos referimos en una nota específica. El problema afecta el mecanismo copy-on-write del kernel Linux y fue descrito como una falla capaz de permitir acceso root en distintas distribuciones importantes.
La investigación incia que la falla podía ser utilizada por atacantes locales para escalar privilegios mediante manipulación de memoria asociada al mecanismo copy-on-write. El caso se sumó rápidamente a otras fallas LPE publicadas durante mayo, consolidando una seguidilla de vulnerabilidades centradas en componentes internos del kernel Linux.
La mayoría de los casos reportados durante este período tiene como patrón común la disponibilidad pública de código de explotación y documentación técnica poco después de la divulgación inicial.
Los repositorios asociados a los proyectos incluyen instrucciones de compilación, requisitos y ejemplos de ejecución orientados a pruebas controladas, facilitando el análisis de las fallas por parte de investigadores y equipos de seguridad.
La secuencia de vulnerabilidades también refleja el foco actual sobre mecanismos internos del kernel Linux y componentes relacionados con memoria y administración de procesos. Aunque cada caso posee características técnicas distintas, los cinco incidentes fueron descritos en los reportes como escenarios capaces de permitir escalada local de privilegios hasta acceso root.