Mastodon Mastodon Mastodon Mastodon

CVE-2026-46242 en epoll: escalada local a root en Linux moderno

Foto del autor

CyberSecureFox Editorial Team

Publicado:

En la subsistema epoll del kernel de Linux se ha descubierto la vulnerabilidad CVE-2026-46242, denominada Bad Epoll. Es un fallo de tipo use-after-free que permite a un usuario local no privilegiado elevar sus privilegios hasta root. Están afectados los kernels a partir de la versión 6.4 y posteriores — equipos de escritorio, servidores y, según se informa, Android. Hay disponible un proof-of-concept público, pero no se han detectado indicios de explotación en ataques reales. La vulnerabilidad no está incluida en el catálogo CISA KEV. El parche ya se ha publicado, por lo que los administradores deben aplicarlo de inmediato.

Aspectos técnicos de la vulnerabilidad

Epoll es el mecanismo estándar del kernel de Linux para la multiplexación de entrada/salida, utilizado por servidores web, servicios de red y navegadores. No es posible desactivarlo, lo que descarta soluciones de contención basadas en su deshabilitación.

Según el investigador Jaeyoung Chung, que ha publicado un análisis técnico detallado, el problema radica en que dos rutas de limpieza en el kernel acceden simultáneamente al mismo objeto interno. Una de ellas libera la memoria mientras la otra sigue escribiendo datos en ella. Se trata de una condición de carrera clásica (race condition) que provoca corrupción de memoria en el kernel y posibilita la elevación de privilegios.

Las características técnicas clave descritas por el investigador son:

  • Tipo de vulnerabilidad: use-after-free en la subsistema epoll
  • Vector de ataque: local, no requiere privilegios especiales
  • Ventana de carrera: según la estimación del investigador, alrededor de seis instrucciones de máquina
  • Fiabilidad del exploit: de acuerdo con Chung, alcanza aproximadamente el 99% en sistemas de prueba gracias a una técnica de ampliación de la ventana de carrera y a reintentos sin provocar caídas del sistema
  • Versiones afectadas: kernels de Linux basados en 6.4 y posteriores, sin el parche aplicado
  • Versiones no afectadas: kernels basados en 6.1, ya que el código vulnerable solo apareció en 6.4

Según el investigador, presumiblemente es posible ejecutar el exploit desde la sandbox del renderer de Chrome, que bloquea la mayoría de las demás vulnerabilidades del kernel. Se informa de que está en desarrollo un exploit para Android. Ambas afirmaciones se basan en datos de un único investigador y no han sido confirmadas de forma independiente.

Origen y relación con la investigación en IA

Ambas vulnerabilidades — CVE-2026-46242 (Bad Epoll) y la relacionada CVE-2026-43074 — se remontan a un único cambio en el código de epoll introducido en 2023. Según Chung, la primera de las dos fallas (CVE-2026-43074) fue descubierta por el modelo Mythos de Anthropic, y su corrección se publicó a principios de 2026. Anthropic declaró que había identificado vulnerabilidades de elevación de privilegios en el kernel de Linux con ayuda de sus modelos, aunque la empresa no ha hecho una vinculación pública directa con Bad Epoll.

La segunda vulnerabilidad — la propia Bad Epoll — no fue detectada por la IA. Chung sugiere dos posibles razones: una ventana de carrera extremadamente estrecha, que dificulta modelar una secuencia de eventos precisa incluso al analizar el código, y la ausencia de señales claras en tiempo de ejecución: tras corregir el primer fallo, la corrupción de memoria provocada por Bad Epoll, por lo general, no dispara KASAN (el principal detector de errores del kernel).

Este caso es revelador: las condiciones de carrera siguen siendo una de las clases de errores más complejas tanto para el análisis automatizado como para el manual.

Contexto: oleada de vulnerabilidades del kernel de Linux en 2026

Bad Epoll continúa la serie de vulnerabilidades de elevación de privilegios en el kernel de Linux utilizadas para obtener root en Android: Bad Binder, Bad IO_uring, Bad Spin. Paralelamente, en 2026 se revelaron otras vulnerabilidades graves del kernel — CVE-2026-31431 (Copy Fail), así como las cadenas Dirty Frag, Fragnesia, DirtyClone y pedit COW. La mayoría de ellas son errores de escritura deterministas en la caché de páginas, que no requieren ganar una carrera, lo que las hace más fiables en explotación.

Conviene mencionar por separado CVE-2026-31694, una vulnerabilidad en el código del sistema de archivos FUSE del kernel de Linux, para la que también existe un PoC público. Un usuario local con acceso a FUSE puede suministrar un sistema de archivos malicioso y provocar corrupción de memoria. Esta vulnerabilidad representa un riesgo sobre todo para servidores y entornos de contenedores, donde el acceso a FUSE mediante espacios de nombres de usuario es una práctica habitual.

Evaluación del impacto

Están especialmente expuestos al riesgo:

  • Servidores con acceso multiusuario y kernels 6.4+ en los que un usuario sin privilegios puede obtener control total
  • Entornos de contenedores, donde escapar del contenedor a través de una vulnerabilidad del kernel compromete todo el host
  • Dispositivos Android con kernels 6.4+ — aunque el exploit para Android aún está en desarrollo, el vector de ataque en sí es aplicable
  • Estaciones de trabajo, donde código malicioso ejecutado con permisos de usuario normal puede escalar privilegios

La existencia de un PoC público con una fiabilidad declarada alta incrementa la probabilidad de que aparezcan exploits activos en un futuro próximo.

Recomendaciones

  1. Aplicar el parche. Instale el commit upstream a6dc643c6931 o espere al backport de su distribución. Es la única medida disponible: no existen soluciones alternativas, ya que epoll no puede desactivarse.
  2. Comprobar la versión del kernel. Son vulnerables los kernels 6.4 y posteriores sin parchear. Los kernels basados en 6.1 no se ven afectados.
  3. Restringir el acceso local. Hasta aplicar el parche, minimice el número de usuarios con acceso a shell en servidores críticos.
  4. Monitorización. Supervise llamadas anómalas a epoll e intentos de elevación de privilegios. Tenga en cuenta que KASAN puede no detectar este fallo tras el parche de CVE-2026-43074.
  5. Prioridad: alta. PoC público con alta fiabilidad declarada, amplia superficie de ataque y ausencia de soluciones alternativas.

La vulnerabilidad Bad Epoll es una elevación de privilegios local mediante una condición de carrera en una subsistema fundamental del kernel que no se puede desactivar. Dado que existe un PoC público y se declara una fiabilidad cercana al 99%, la única acción eficaz es actualizar de inmediato el kernel a una versión que incluya el commit a6dc643c6931. Las organizaciones que utilicen kernels 6.4+ en servidores, contenedores o dispositivos Android deben incluir este parche en su próximo ciclo de actualizaciones.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.