Se ha detectado una nueva vulnerabilidad, bautizada como Dirty Frag, que permitiría a los atacantes obtener privilegios de administrador de la mayoría de las distribuciones de Linux que se utilizan actualmente. Para conseguirlo, únicamente sería necesario hacer uso de un único comando.

Los usuarios de Linux podrían estar frente a otra nueva vulnerabilidad que podría poner en jaque la seguridad de sus sistemas. En este caso, se trata de una brecha de seguridad diferente a la que te contamos el pasado mes de abril, ha sido bautizada con el nombre de Dirty Frag y registrada como CVE-2026-43284. Su funcionamiento es muy sencillo, una vez los atacantes introducen un comando en una gran cantidad de distribuciones de Linux, obtienen automáticamente privilegios de administrador.

El origen de dicha brecha lo encontramos en dos fallos de kernel distintos: la vulnerabilidad de escritura en la caché de páginas xfrm-ESP y la vulnerabilidad de escritura de la caché de las páginas RxRPC. De este modo, logran modificar las páginas de los archivos protegidos en la memoria y se logra aumentar los privilegios de los que disfrutan los usuarios. El resultado final es que los atacantes tienen todo el control no solo de nuestros equipos, también de toda la información que aparece en ellos.

Un funcionamiento similar a Copy Fail

Según ha explicado Hyunwoo Kim, un investigador de seguridad que ha sido el encargado de visibilizar dicha vulnerabilidad, el modo de funcionamiento es muy similar al que ya te contamos cuando explicamos Copy Fail, descubierta hace menos de un mes. Dado que extiende la clase de errores a la que pertenece Copy Fail, no requiere que se cumplan una gran cantidad de condiciones para que pueda comenzar a afectar a todos los sistemas. Según afirma, “el kernel no entra en pánico cuando falla el exploit y la tasa de éxito es muy alta”.

Esta también es la razón por la que existen una gran cantidad de distribuciones del sistema operativo que han sido afectadas, como es el caso de Ubuntu, Red Hat Enterprise Linux, CentOS Stream o AlmaLinux, entre otras. Después de que el investigador de seguridad que hemos mencionado se pusiera en contacto con el equipo de mantenimiento de Linux, desde el sistema operativo se ha compartido el código que permitiría eliminar los módulos que podrían estar afectados:

“sh -c «printf ‘install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true»

Linux, cada vez más expuesta

Lo llamativo de la situación no es que se haya detectado una nueva vulnerabilidad, puesto que esto es un escenario que siempre se puede producir en el sector al que estamos haciendo referencia. Lo es más bien que se produce mientras la comunidad todavía está implementando parches para Copy Fail, cuyos efectos eran muy similares a los que hemos mencionado previamente y que también permitía escalar los privilegios de root de una forma extremadamente sencilla.

De momento, desde Linux no se ha proporcionado más información, ni han dado más datos sobre el origen del problema al que hemos hecho referencia. Lo único que sabemos es que mediante el comando que hemos mencionado previamente vamos a poder proteger nuestro sistema, mientras esperamos a que salgan nuevos parches que nos permitan proteger nuestros equipos desde el origen.

Si se publica más información al respecto o tenemos más noticias sobre nuevas formas de protegernos, actualizaremos este artículo para que no tengas que preocuparte por la seguridad de tus equipos durante las próximas semanas.