Vulnerabilidad GhostLock de 15 años permite escalada a root en Linux

Publicado el

Descubrimiento de GhostLock

Investigadores de Nebula Security han revelado GhostLock (CVE-2026-43499), una vulnerabilidad en el núcleo de Linux que lleva presente desde 2011. Esta falla permite a cualquier usuario que tenga sesión iniciada obtener control total del sistema, siempre que no se haya aplicado el parche correspondiente. La vulnerabilidad afecta a casi todas las distribuciones de Linux que utilizan el código vulnerable, que se ha incluido por defecto en versiones principales desde hace 15 años.

Funcionamiento de la vulnerabilidad

El problema radica en un mecanismo del núcleo que evita que tareas urgentes se queden atascadas detrás de otras triviales. En un caso raro, cuando una operación de bloqueo no puede completarse, el sistema realiza una limpieza en un momento incorrecto, eliminando el registro de una tarea equivocada. Este error lleva a que el núcleo mantenga un puntero obsoleto, lo que permite a un atacante ejecutar código como usuario root a través de un proceso de uso después de liberar. Tras realizar pruebas, Nebula logró convertir esta falla en un exploit con un 97% de fiabilidad, que también permite escapar de contenedores.

Parches y recomendaciones

Aunque la vulnerabilidad fue corregida en abril, muchas distribuciones aún están en proceso de implementar los parches necesarios. Es fundamental que los usuarios instalen la versión actual del núcleo de su distribución, ya que la primera solución introdujo otro error (CVE-2026-53166) que aún está siendo corregido. Por lo tanto, algunos sistemas pueden no tener la versión final del parche. No hay una solución completa, dado que las operaciones que desencadenan el problema son rutinarias para cualquier proceso local.

Se aconseja priorizar la aplicación de parches en servidores en la nube, contenedores y entornos de integración continua, donde la probabilidad de que un atacante encuentre un acceso local es mayor. Aunque actualmente no se conocen casos de explotación activa de esta vulnerabilidad, la publicación del código de explotación por parte de Nebula aumenta su riesgo potencial.

Contexto de seguridad en Linux

GhostLock se suma a una serie de vulnerabilidades de escalada de privilegios en Linux descubiertas en 2026. Por ejemplo, Bad Epoll (CVE-2026-46242) es otra vulnerabilidad reciente que también permite a un usuario sin privilegios convertirse en root. Ambas fallas fueron identificadas gracias a herramientas automatizadas como VEGA, que han comenzado a explorar áreas del código del núcleo que no se revisaban desde hace años.

Nebula ha demostrado cómo GhostLock puede ser utilizado en combinación con otros exploits, como el CVE-2026-10702, que afecta a Firefox y permite ejecutar código en el navegador. Esto significa que, aunque GhostLock requiere que un atacante tenga acceso local, su integración con otros exploits puede facilitar un compromiso remoto más sencillo. Se espera que Nebula publique más detalles sobre esta cadena de ataques en un futuro próximo.

La comunidad de usuarios de Linux debe estar alerta y aplicar los parches necesarios para mitigar el riesgo que presenta GhostLock y otras vulnerabilidades relacionadas.

Fuente

Ver noticia original