Vulnerabilidad 'Bad Epoll' en el núcleo de Linux permite acceso root

Publicado el

Introducción

La vulnerabilidad Bad Epoll, identificada como CVE-2026-46242, permite que usuarios ordinarios sin privilegios tomen control total de un sistema como root. Este fallo afecta tanto a desktops y servidores Linux como a dispositivos Android. Afortunadamente, ya se ha publicado un parche para mitigar este riesgo.

Funcionamiento de la Vulnerabilidad

Epoll es una funcionalidad estándar en Linux que permite a un programa supervisar múltiples archivos o conexiones de red simultáneamente, siendo crucial para servidores, servicios de red y navegadores web. Bad Epoll se clasifica como un error de tipo "use-after-free", donde dos partes del núcleo intentan limpiar el mismo objeto interno al mismo tiempo. Esto provoca un conflicto en el que uno libera la memoria mientras el otro sigue escribiendo en ella, lo que permite a un atacante corromper la memoria del núcleo y escalar privilegios desde una cuenta normal a root.

El reto radica en el timing: la ventana donde ocurre esta colisión es extremadamente reducida, abarcando solo unas seis instrucciones de máquina, lo que hace que un intento aleatorio sea poco probable que tenga éxito. Sin embargo, el investigador Jaeyoung Chung ha logrado ampliar esta ventana, permitiendo que su exploit alcance root en aproximadamente el 99% de los sistemas probados.

Riesgos Adicionales

Dos factores hacen que esta vulnerabilidad sea especialmente peligrosa. En primer lugar, puede activarse desde el sandbox del renderizador de Chrome, que normalmente bloquea la mayoría de los errores de núcleo. En segundo lugar, Bad Epoll afecta también a Android, a diferencia de muchos otros fallos de privilegio en Linux que no alcanzan este sistema operativo. Chung presentó la vulnerabilidad como un zero-day al programa kernelCTF de Google, y los detalles técnicos completos están disponibles en su publicación pública.

Hasta el momento, no hay evidencia de que esta vulnerabilidad se haya utilizado en ataques reales. No figura en la lista de CISA de vulnerabilidades conocidas explotadas, y el único código funcional es el prototipo de kernelCTF. Una versión para Android del exploit aún está en desarrollo.

Contexto y Consecuencias

Bad Epoll se suma a una serie de vulnerabilidades en el núcleo de Linux que han sido utilizadas para obtener acceso root en dispositivos Android, junto a otras como Bad Binder, Bad IO_uring y Bad Spin. Este año ha sido particularmente complicado para la seguridad del núcleo de Linux, con un aumento en los fallos de privilegio, incluyendo el Copy Fail (CVE-2026-31431), que ahora figura en la lista de CISA.

Además, se han identificado otros fallos en la cadena Dirty Frag y el DirtyClone, que son más fiables al no depender de condiciones de carrera. Bad Epoll es un ejemplo del tipo de errores que son difíciles de detectar y explotar, lo que pone en evidencia la complejidad de la seguridad en el núcleo de Linux.

Conclusión

La detección y corrección de errores de condición de carrera, como Bad Epoll, sigue siendo un desafío significativo. Este caso demuestra que incluso con el uso de modelos de inteligencia artificial como Mythos, algunos errores pueden pasar desapercibidos. Para mitigar el riesgo, se recomienda aplicar el commit de la corrección, así como instalar el backport correspondiente en las distribuciones afectadas. Mantener los sistemas actualizados es crucial para la protección contra este tipo de vulnerabilidades.

Fuente

Ver noticia original