Dirty Frag es una vulnerabilidad del kernel de Linux recientemente reveladacadena que puede permitir que un usuario local sin privilegios obtenga acceso root en los sistemas afectados. El problema afecta a los componentes de red del kernel vinculados a ESP y RxRPC, y la actividad pública de prueba de concepto ya ha planteado la urgencia para los administradores.
Los dos fallos se rastrean como CVE-2026-43284 y CVE-2026-43500. Se pueden encadenar para alterar los datos de la caché de la página y pasar del acceso de bajo nivel al control total del sistema.
Este no es un ataque remoto en sí mismo. Un atacante necesita primero acceso local, como una cuenta de usuario comprometida, un shell web, acceso SSH o una carga de trabajo de contenedor que pueda ejecutar código en el host. Una vez que existe ese punto de apoyo, Dirty Frag puede aumentar el daño otorgando al atacante privilegios de root.
¿Qué es Dirty Frag?
Dirty Frag es un problema de escalada de privilegios locales de Linux descubierto e informado por el investigador de seguridad Hyunwoo Kim. La clase de vulnerabilidad funciona encadenando dos fallas de escritura de caché de página separadas en el kernel de Linux.
La primera falla afecta el soporte ESP utilizado por IPsec y se rastrea como CVE-2026-43284. El segundo afecta a RxRPC y se rastrea como CVE-2026-43500.
El nombre tiene dcomparaciones crudas con errores anteriores de caché de páginas de Linuxcomo Tubería sucia y Error de copia. La similitud es importante porque estos errores pueden cambiar lo que el sistema lee de los archivos protegidos en la memoria, incluso cuando el atacante no debería tener permiso de escritura en esos archivos.
De un vistazo
| Artículo | Detalles |
|---|---|
| Nombre de la vulnerabilidad | Fragmento sucio |
| ID CVE | CVE-2026-43284 y CVE-2026-43500 |
| Tipo de vulnerabilidad | Escalada de privilegios locales de Linux |
| Impacto principal | El atacante local puede obtener privilegios de root |
| Zonas afectadas | ESP, módulos relacionados con IPsec y RxRPC |
| Estado de explotación | Actividad pública de prueba de concepto reportada |
¿Por qué el defecto es grave?
Dirty Frag es importante porque las fallas de escalada de privilegios locales a menudo aparecen después de que un atacante ya tiene un punto de apoyo limitado. Con acceso raíz, el atacante puede desactivar herramientas de seguridad, robar credenciales, alterar registros, instalar persistencia y profundizar en el entorno.
Microsoft dijo que Dirty Frag se puede usar después del compromiso inicial mediante acceso SSH, ejecución de shell web, escenarios de escape de contenedores o una cuenta comprometida con pocos privilegios. La compañía también dijo que los entornos afectados pueden incluir implementaciones de Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE y OpenShift.
Microsoft también informó de una actividad limitada que involucra patrones de escalada de privilegios que pueden estar relacionados con Dirty Frag o Copy Fail. Eso hace que el problema sea más urgente que un error de kernel puramente teórico.
Cómo funciona el ataque a alto nivel
La cadena Dirty Frag apunta a cómo el kernel de Linux maneja ciertos fragmentos de memoria y datos de caché de páginas. En las condiciones adecuadas, un atacante puede hacer que los datos de un archivo protegido aparezcan modificados en la memoria sin escribir directamente en el archivo en el disco.
CVE-2026-43284 afecta las rutas ESP utilizadas por IPsec.Ubuntu describe el problemacomo un caso en el que los fragmentos de skb compartidos podrían modificarse sin realizar primero una copia privada.
CVE-2026-43500 afecta a RxRPC. Cuando se encadena con el problema de ESP, puede ampliar la cantidad de sistemas donde la ruta de escalada de privilegios puede funcionar.
Sistemas afectados
Ubuntu dice que las vulnerabilidades se divulgaron públicamente el 7 de mayo de 2026 y afectan a los módulos del kernel de Linux. Su guía enumera múltiplesLanzamientos de Ubuntu afectadosd, incluidos 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS, 25.10 y 26.04 LTS.
Red Hat también publicó un boletín de seguridad para Dirty Frag y dijo que un usuario con una cuenta local podría desencadenar fallas para obtener privilegios de root. Red Hat se refiere al problema como Copy Fail 2 debido a su similitud con la vulnerabilidad Copy Fail anterior.
Los equipos de seguridad no deben asumir que solo importan los servidores con acceso a Internet. Es posible que también sea necesario revisar las estaciones de trabajo de los desarrolladores, los ejecutores de CI, los contenedores, los escritorios Linux, los servidores internos, las cargas de trabajo en la nube y los entornos estilo WSL.
Estado del parche y mitigación
Los administradores deben aplicar las actualizaciones del kernel proporcionadas por el proveedor tan pronto como estén disponibles para su distribución y paquete del kernel. El tiempo de aplicación de los parches puede variar según el proveedor, la versión del kernel, el nivel de soporte y la imagen de la nube.
Microsoft dijo parches del kernel de Linux para CVE-2026-43284se publicaron el 8 de mayo de 2026. También decía que CVE-2026-43500 todavía estaba pendiente en algunos lugares en ese momento.
Ubuntu recomienda una mitigación temporal que bloquea la carga de los módulos afectados y los descarga si ya están activos. Esto puede reducir la exposición, pero puede dañar los sistemas que dependen de IPsec, StrongSwan, AFS u otra carga de trabajo basada en RxRPC.
Qué deben comprobar los administradores
- Identifique hosts de Linux que permitan usuarios locales o cargas de trabajo de contenedores.
- Compruebe si los módulos ESP y RxRPC afectados están cargados.
- Revise los avisos de los proveedores para conocer el paquete de kernel exacto utilizado en cada sistema.
- Aplique actualizaciones del kernel cuando su distribución las publique.
- Considere el bloqueo temporal del módulo solo después de verificar las dependencias de IPsec y RxRPC.
- Revise las alertas recientes de escalada de privilegios y la actividad sospechosa a nivel de raíz.
- Valide la integridad de archivos confidenciales si se sospecha explotación.
Por qué los entornos de contenedores necesitan atención
Los entornos de contenedores merecen atención especial porque los errores de escalada de privilegios locales a veces pueden ayudar a los atacantes a pasar de una carga de trabajo limitada a una posición más poderosa en el host.
Ubuntu dice que las implementaciones que ejecutan cargas de trabajo arbitrarias de terceros pueden enfrentar un riesgo adicional de fuga de contenedores, aunque en su guía no se publicó una prueba pública de concepto para la fuga de contenedores.
Esto hace que Dirty Frag sea especialmente importante para proveedores de alojamiento, plataformas de CI, sistemas de desarrollo compartido, servidores en la nube y entornos que ejecutan cargas de trabajo que no son de confianza.
¿Qué hace que Dirty Frag sea diferente?
Dirty Frag no depende de una carrera de tiempo frágil como lo hacen muchos exploits de kernel más antiguos. Los informes lo describen como más confiable que las técnicas tradicionales de escalada de privilegios por condiciones raciales.
Esa confiabilidad aumenta el riesgo después de que los atacantes obtienen el acceso inicial. Un shell con pocos privilegios que de otro modo podría tener un valor limitado puede convertirse en un camino hacia el control total de la raíz.
La prueba de concepto pública también cambia la línea de tiempo. Los defensores deben tratar el problema como algo que los atacantes pueden probar rápidamente, especialmente en sistemas que se quedan atrás en las actualizaciones del kernel.
Resumen
- Dirty Frag es una cadena de vulnerabilidad de escalada de privilegios locales de Linux.
- Los dos fallos se rastrean como CVE-2026-43284 y CVE-2026-43500.
- Un atacante necesita primero la ejecución del código local, pero la cadena puede conducir al acceso de root.
- Es posible que sea necesario revisar Ubuntu, Red Hat, Fedora, AlmaLinux, CentOS Stream, openSUSE y entornos relacionados.
- Los administradores deben aplicar actualizaciones del kernel y considerar las mitigaciones recomendadas por los proveedores cuando los parches aún no estén disponibles.
Preguntas frecuentes
¿Qué es Dirty Frag?
Dirty Frag es una cadena de vulnerabilidad de escalada de privilegios locales del kernel de Linux que puede permitir a un atacante local obtener privilegios de root en los sistemas afectados.
¿Qué CVE están vinculados a Dirty Frag?
Dirty Frag está vinculado a CVE-2026-43284 y CVE-2026-43500. El primero afecta las rutas del kernel relacionadas con ESP, mientras que el segundo afecta a RxRPC.
¿Se puede explotar Dirty Frag de forma remota?
Dirty Frag no es un exploit remoto en sí mismo. Un atacante primero necesita la ejecución de código local a través de una cuenta comprometida, shell web, acceso SSH, carga de trabajo de contenedor u otro punto de apoyo.
¿Hay parches disponibles?
La disponibilidad de parches depende de la distribución de Linux y del paquete del kernel. Los administradores deben consultar los avisos de los proveedores e instalar las últimas actualizaciones del kernel publicadas para sus sistemas.