Mastodon Mastodon Mastodon Mastodon

Análisis de CVE-2026-46331 en la gestión de tráfico de Linux

Foto del autor

CyberSecureFox Editorial Team

Publicado:

La vulnerabilidad CVE-2026-46331 en la sub­sistema de gestión de tráfico del kernel Linux permite a un usuario local sin privilegios obtener permisos de root en los sistemas afectados. Un error de escritura fuera de los límites del búfer en el componente act_pedit provoca la corrupción de la caché de páginas, y un exploit público funcional apareció en abierto en menos de 24 horas tras la asignación del CVE el 16 de junio de 2026. Red Hat califica la vulnerabilidad como Important. Se ven afectadas RHEL 8, 9, 10, Ubuntu desde 18.04 hasta 26.04 y Debian 11–13. Los administradores de sistemas multiusuario, nodos de Kubernetes y servidores de CI/CD deben instalar de inmediato el kernel actualizado o aplicar medidas de mitigación.

Mecanismo de la vulnerabilidad

La utilidad tc en Linux permite modificar encabezados de paquetes sobre la marcha mediante la acción pedit. Según los investigadores, la función del kernel tcf_pedit_act() debería crear una copia privada de los datos antes de editarlos, un patrón estándar de copy-on-write. Sin embargo, la comprobación del rango permitido de escritura se realiza antes de que se conozcan los desplazamientos finales: parte de las claves de edición resuelven sus desplazamientos solo en tiempo de ejecución. Cuando el desplazamiento final sale fuera de la región copiada de forma privada, la escritura se realiza en una página compartida de la caché de páginas en lugar de en la copia privada.

Si esa página pertenece a un archivo en caché, su imagen en memoria queda dañada. Según se informa, el exploit usa esto para envenenar la copia en caché de un archivo binario con el bit setuid root (por ejemplo, /bin/su): inyecta una pequeña carga útil y ejecuta la imagen modificada con privilegios de root. El archivo en disco permanece intacto, y las comprobaciones de integridad del sistema de archivos no detectan cambios.

Este tipo de errores es bien conocido: Dirty Pipe, DirtyClone, Dirty Frag, todos explotan situaciones en las que el kernel escribe datos en una página que no posee en exclusiva. La diferencia de CVE-2026-46331 está en el punto de entrada: un usuario sin privilegios puede configurar acciones de tc desde dentro de un espacio de nombres de usuario, obteniendo el privilegio local CAP_NET_ADMIN.

Requisitos previos para la explotación

La cadena de explotación exige que se cumplan simultáneamente dos condiciones:

  • El módulo act_pedit debe estar disponible para su carga en el kernel.
  • Deben estar permitidos los espacios de nombres de usuario no privilegiados, de modo que el atacante pueda obtener CAP_NET_ADMIN dentro del espacio de nombres.

Según el autor del exploit, ambas condiciones se cumplían por defecto en RHEL 10 y Debian 13 (trixie). En Ubuntu 24.04, la explotación presuntamente requería encaminarse a través de perfiles AppArmor que permiten espacios de nombres de usuario. Ubuntu 26.04 bloquea esta vía por defecto mediante restricciones de AppArmor, aunque el propio kernel sigue siendo vulnerable.

Sistemas afectados y estado de los parches

Evaluación del impacto

El mayor riesgo recae en sistemas donde «usuario local» no equivale a usuario de confianza: servidores multiusuario, nodos de Kubernetes, nodos de trabajo de cadenas de CI/CD, servidores de compilación y máquinas de investigación compartidas. El ataque no deja rastros en disco: las herramientas estándar de control de integridad de archivos (AIDE, Tripwire, rpm -V) no registrarán la intrusión mientras la shell de root ya está abierta.

Un factor de riesgo adicional es la cronología de la divulgación. El parche se publicó en la lista de correo netdev a finales de mayo de 2026 y, según se indica, se presentó como un parche rutinario para corregir corrupción de datos, sin CVE y sin advertencia de seguridad. El CVE se asignó únicamente cuando se integró la corrección el 16 de junio, y el exploit funcional apareció en menos de 24 horas. Para vulnerabilidades de la clase de corrupción de caché de páginas, esperar reglas de firmas de un escáner es una estrategia inaceptablemente lenta.

Recomendaciones de respuesta

Acción prioritaria: instalar el kernel actualizado y reiniciar el sistema. Si la actualización inmediata no es posible, cualquiera de las dos medidas de mitigación rompe la cadena de explotación:

Bloqueo del módulo act_pedit

En sistemas que no usan reglas pedit en tc, compruebe si el módulo está cargado (lsmod | grep act_pedit) y bloquéelo:

echo 'install act_pedit /bin/true' | sudo tee /etc/modprobe.d/disable-act_pedit.conf

Desactivación de espacios de nombres de usuario no privilegiados

En RHEL: user.max_user_namespaces=0. En Debian/Ubuntu: kernel.unprivileged_userns_clone=0. Esta medida elimina la posibilidad de obtener CAP_NET_ADMIN, necesaria para el exploit, pero rompe el funcionamiento de contenedores sin privilegios de root, algunas sandbox de CI y sandbox de navegadores. Asegúrese de probarla antes de aplicarla en entornos de producción.

Si se sospecha de una intrusión

Vaciar la caché de páginas (echo 3 > /proc/sys/vm/drop_caches) elimina de la memoria la copia envenenada, pero no revierte las consecuencias de un acceso a root ya obtenido. Si hay motivos para sospechar explotación, considere el host como comprometido y actúe conforme al procedimiento de respuesta a incidentes.

CVE-2026-46331 es otra vulnerabilidad de la clase de corrupción de caché de páginas, en la que los medios tradicionales de control de integridad de archivos resultan inútiles. Instale el kernel corregido en todos los sistemas afectados, empezando por los nodos multiusuario y la infraestructura de CI/CD. Si la actualización se retrasa, bloquee hoy mismo el módulo act_pedit: es un solo comando, no requiere reinicio y no afecta al funcionamiento de la inmensa mayoría de sistemas.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.