Vulnerabilidad en el núcleo de Linux permite acceso root local
Publicado el
Vulnerabilidad CVE-2026-23111 en el núcleo de Linux
Investigadores de seguridad han revelado un exploit funcional para una vulnerabilidad en el núcleo de Linux que permite a un usuario local sin privilegios escalar a root. Esta falla, conocida como CVE-2026-23111, se encuentra en el código de filtrado de paquetes nf_tables y fue corregida el 5 de febrero de 2026.
Exodus Intelligence dio a conocer un recorrido técnico completo sobre esta vulnerabilidad el 8 de junio, y no es el primer exploit público; FuzzingLabs había publicado una reproducción independiente en abril. El problema radica en un carácter erróneo en nf_tables, y la corrección se realizó en una sola línea de código.
Impacto y riesgo
Ubuntu ha calificado esta vulnerabilidad con un CVSS de 7.8, lo que la sitúa en la categoría de alto riesgo. Si la distribución del núcleo no incluye aún la corrección, es imprescindible actualizar y reiniciar el sistema. La configuración afectada es común, ya que nf_tables junto con los espacios de nombres de usuario sin privilegios permiten que una cuenta ordinaria actúe como root dentro de un contenedor privado y acceda al código del núcleo que de otro modo no podría.
No existe un vector remoto por sí solo; esta es una vulnerabilidad que un atacante puede aprovechar después de haber obtenido acceso, convirtiendo un shell de bajo privilegio, un contenedor comprometido o una cuenta de servicio en acceso root en el host. Oliver Sieber, investigador de Exodus, quien descubrió el fallo a principios de 2025, lo encadenó hasta conseguir acceso completo como root local. El exploit desencadena el uso indebido de memoria, eludiendo las protecciones de memoria del núcleo y tomando control de la ejecución para otorgarse acceso root y escapar del espacio de nombres del contenedor.
Se demostró en diferentes distribuciones, incluyendo Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS y Ubuntu 24.04 LTS. FuzzingLabs también reprodujo el fallo en RHEL 10 antes del evento Pwn2Own Berlín 2026, desarrollando su propio exploit de root por un camino diferente.
Recomendaciones de seguridad
La línea de tiempo es ajustada: la corrección fue publicada el 5 de febrero, FuzzingLabs lanzó su exploit el 16 de abril, y el análisis detallado de Exodus fue publicado el 8 de junio. Esta técnica ha sido documentada en Debian, Ubuntu y Red Hat. Debido a que el fallo está en la línea principal, cualquier distribución que haya enviado un núcleo vulnerable con ambas características habilitadas está expuesta, a menos que las restricciones de endurecimiento o espacios de nombres de la distribución bloqueen el acceso.
Actualización del núcleo
CVE-2026-23111 se suma a una serie de divulgaciones de acceso local en Linux. Recientemente, se han reportado otros fallos como Copy Fail, la cadena Dirty Frag, su variante Fragnesia, DirtyDecrypt y un fallo de ptrace de hace nueve años que permite leer /etc/shadow y ejecutar comandos como root. Aunque las diferencias en los detalles son notables, todos comparten una preocupación común: un acceso sin privilegios sigue convirtiéndose en root en instalaciones ordinarias.
Es esencial actualizar el núcleo y reiniciar. El fallo es local y requiere espacios de nombres de usuario sin privilegios, por lo que se debe prestar atención prioritaria a los sistemas que permiten a usuarios o cargas de trabajo no confiables crearlos. Ubuntu ha lanzado correcciones para las versiones 22.04, 24.04 y 25.10, mientras que Debian ha solucionado Bookworm y Trixie, además de realizar un retroceso de la versión 6.1 para Bullseye LTS.
Red Hat, SUSE y Amazon Linux también rastrean esta vulnerabilidad; se aconseja consultar el aviso de su distribución para identificar el paquete de núcleo correspondiente, ya que la versión corregida varía. La corrección en la línea principal fue una simple línea de código.
Consideraciones finales
Un análisis reciente de Synacktiv sobre el aumento de Local Privilege Escalation (LPE) vincula la velocidad de las divulgaciones a la investigación asistida por IA y la comparación de parches, que ha permitido que los exploits aparezcan antes de que las correcciones se distribuyan ampliamente. La mayoría de estos fallos dependen de características opcionales del núcleo o configuraciones laxas, por lo que limitar lo que los usuarios sin privilegios pueden alcanzar, como en este caso los espacios de nombres de usuario, puede mitigar el riesgo hasta que la corrección esté en su lugar. Hasta la fecha, no se han reportado explotación en el mundo real, y ningún actor de amenazas ha sido vinculado a esta vulnerabilidad.