"Dirty Frag" escalada de privilegios en Linux (CVE-2026-43284 / CVE-2026-43500) bajo explotación activa — parchea ahora
El par de vulnerabilidades 'Dirty Frag' que afecta a los módulos de red IPsec y AFS del kernel Linux está confirmado bajo explotación activa. Cualquier cuenta local sin privilegios puede escalar a root. Red Hat, Ubuntu, Amazon Linux y SUSE han publicado parches; aplícalos de inmediato.
La explotación activa del par de escalada de privilegios “Dirty Frag” en el kernel Linux — CVE-2026-43284 (CVSS 8.8) y CVE-2026-43500 (CVSS 7.8) — ha sido confirmada por la telemetría de Microsoft Defender. Cualquier usuario local sin privilegios en un sistema sin parchear puede escalar a root en una sola operación. Si administras servidores Linux y no has aplicado las actualizaciones de kernel de este mes, hazlo ahora.
Qué hace la vulnerabilidad
Ambos CVE tienen su origen en cómo el kernel Linux gestiona la propiedad de fragmentos de memoria durante el descifrado en dos subsistemas de red:
- CVE-2026-43284 afecta a
esp4yesp6— los módulos del kernel que implementan IPsec Encapsulating Security Payload para IPv4 e IPv6. - CVE-2026-43500 afecta a
rxrpc, la implementación del protocolo de transporte AFS (Andrew File System) del kernel.
Cuando cualquiera de los dos módulos descifra datos sobre búferes paginados que no son de propiedad privada del kernel, el seguimiento de la propiedad de esos fragmentos de memoria se gestiona incorrectamente. Combinado con una llamada estándar al sistema splice(2) o sendfile(2), un proceso sin privilegios puede retener referencias en vivo a la salida en texto plano, obteniendo un primitivo de escritura directamente en la caché de páginas del kernel. Desde ahí, el camino hasta root es un paso adicional.
No se requiere ningún privilegio de acceso inicial más allá de un punto de apoyo de bajo privilegio: un servidor web comprometido, una cuenta SSH, un escape de contenedor o cualquier cuenta de usuario con privilegios reducidos.
Sistemas afectados
Prácticamente todas las distribuciones Linux que ejecutan versiones del kernel anteriores a las versiones parcheadas son vulnerables. Las principales distribuciones con parches confirmados:
- Red Hat / RHEL: Aviso RHSB-2026-003 — parche disponible para RHEL 8 y 9
- Ubuntu: Actualización de seguridad del kernel para Jammy, Noble y Oracular
- Amazon Linux: ALAS-2026-XXXX para AL2 y AL2023
- Fedora / AlmaLinux / CloudLinux: Actualizaciones disponibles en repositorios estándar
- SUSE / openSUSE: Aviso SUSE-SU-2026 publicado
Un tercer CVE relacionado, CVE-2026-46300, está incluido en el aviso RHSB-2026-003 de Red Hat, lo que sugiere un alcance más amplio en la misma ruta de código.
Cómo parchear
En Red Hat / CentOS / Rocky / Alma:
sudo dnf update kernel && sudo rebootEn Ubuntu / Debian:
sudo apt update && sudo apt upgrade linux-image-generic && sudo rebootEn Amazon Linux 2:
sudo yum update kernel && sudo rebootEl reinicio es obligatorio — no es posible parchear en caliente un kernel en ejecución para esta clase de vulnerabilidad.
Detección
Microsoft Defender monitorea activamente los patrones de explotación y ha desplegado cobertura de detección. Si ejecutas Defender for Endpoint en Linux, revisa tus consultas de threat hunting en busca de secuencias inusuales de llamadas splice(2) o sendfile(2) que provengan de procesos con bajos privilegios accediendo a regiones de la caché de páginas del kernel.
Esta vulnerabilidad se describe como el sucesor espiritual de Copy Fail (CVE-2026-31431), divulgado el 1 de mayo. Ese patrón — misma superficie de ataque, refinamiento iterativo — sugiere que Dirty Frag forma parte de una campaña de investigación más amplia dirigida a la gestión de memoria del kernel en subsistemas de red. Trátalo como un evento de parcheado urgente, no como mantenimiento rutinario.