Por Canuto Una vulnerabilidad crítica en el kernel de Linux, identificada como CVE-2026-46333, permite que un usuario local sin privilegios escale a root y acceda a información extremadamente sensible. El problema afecta instalaciones por defecto de varias distribuciones importantes, tiene parches disponibles, pero ya circulan exploits públicos funcionales.
***
- Qualys descubrió un fallo lógico en la ruta ptrace del kernel Linux presente desde noviembre de 2016.
- La vulnerabilidad permite leer archivos sensibles, robar claves privadas SSH o ejecutar comandos arbitrarios como root.
- Los administradores deben aplicar parches de inmediato o, como mitigación temporal, elevar kernel.yama.ptrace_scope a 2.
Una nueva alerta de seguridad sacude al ecosistema Linux. La vulnerabilidad CVE-2026-46333, revelada por investigadores de Qualys, afecta al kernel y permite que un usuario local no privilegiado revele credenciales sensibles o ejecute comandos arbitrarios como root en múltiples distribuciones ampliamente utilizadas.
El problema no es reciente. Según el reporte técnico, el fallo ha estado presente en el kernel mainline desde noviembre de 2016, a partir de la versión v4.10-rc1. Eso amplía de forma considerable la superficie histórica de exposición para empresas, proveedores en la nube, hosts compartidos y nodos de contenedores.
Aunque se trata de una vulnerabilidad de alcance local, su gravedad es alta. En la práctica, cualquier acceso inicial de bajo privilegio en un servidor vulnerable puede convertirse en control total del sistema, con implicaciones directas para entornos corporativos, pipelines de CI, cuentas de servicio y sistemas multiinquilino.
Qué descubrió Qualys y por qué importa
Qualys explicó que el fallo reside en la función __ptrace_may_access() del kernel de Linux. Durante su investigación sobre límites de privilegios, el equipo detectó una ventana estrecha en la que un proceso privilegiado que abandona sus credenciales sigue siendo accesible mediante operaciones de la familia ptrace, aun cuando su estado dumpable debería impedirlo.
Al combinar esa condición con la syscall pidfd_getfd(), incorporada desde enero de 2020 en v5.6-rc1, un atacante puede capturar descriptores de archivo abiertos y canales autenticados de comunicación entre procesos de un proceso privilegiado que está terminando. Después, puede reutilizarlos bajo su propio uid.
Ese comportamiento convierte una simple shell local en una vía confiable hacia privilegios elevados o acceso a material sensible. El riesgo es especialmente delicado porque no depende de configuraciones extrañas ni de escenarios altamente artificiales. Los investigadores sostienen que funciona en instalaciones por defecto de distribuciones principales.
La publicación también subraya que la primitiva de explotación no debe verse como un caso aislado. Aunque el equipo desarrolló cuatro pruebas de concepto específicas, la misma técnica podría ser aplicable a otros binarios set-uid, set-gid, procesos con capacidades de archivo o daemons root.
Los cuatro casos de explotación probados
Para medir el impacto real, los investigadores construyeron cuatro exploits funcionales orientados a objetivos de espacio de usuario ampliamente desplegados. Uno de ellos apunta a chage, que en ciertos sistemas opera como set-uid-root o set-gid-shadow. En este caso, la falla permite revelar el contenido de /etc/shadow.
Ese exploit fue probado en instalaciones por defecto de Debian 13, Ubuntu 24.04, Ubuntu 26.04, Fedora 43 y Fedora 44. Acceder a /etc/shadow representa un problema serio porque abre la puerta a ataques posteriores sobre hashes de contraseñas y credenciales del sistema.
Otro caso usa ssh-keysign, un binario set-uid-root que puede terminar exponiendo claves privadas del host ubicadas en /etc/ssh/*_key. La prueba fue validada en Debian 13, Ubuntu 24.04 y Ubuntu 26.04 en sus configuraciones predeterminadas.
La tercera vía afecta a pkexec, también ejecutado como set-uid-root. En este escenario, el atacante puede ejecutar comandos arbitrarios como root. El reporte indica que incluso un usuario que haya iniciado sesión de forma remota mediante sshd podría aprovecharlo, siempre que exista una sesión allow_active en la consola.
Las pruebas con pkexec se realizaron en Debian 13, Ubuntu Desktop 24.04, Ubuntu Desktop 26.04, Fedora Workstation 43 y Fedora Workstation 44. El cuarto exploit se dirigió a accounts-daemon, un daemon root, y permitió igualmente la ejecución arbitraria de comandos con máximos privilegios en Debian 13 y Fedora Workstation 43 y 44.
Qualys aclaró que esos cuatro ejemplos fueron elegidos a partir de investigaciones previas y no de un barrido completo de toda la superficie de ataque en el espacio de usuario. Eso implica que podrían existir más programas explotables mediante la misma primitiva.
Exploits públicos y urgencia para aplicar parches
Uno de los elementos más delicados del caso es que ya existen exploits funcionales circulando públicamente. Qualys retuvo sus propias pruebas de concepto durante el proceso de divulgación coordinada, mientras las distribuciones completaban el empaquetado de las correcciones. Sin embargo, posteriormente apareció un exploit independiente derivado del commit público del kernel.
Ese cambio alteró el equilibrio del embargo. De acuerdo con el relato del proceso, la empresa informó de forma privada al contacto de seguridad del kernel Linux el 11 de mayo de 2026. Durante los tres días siguientes, el equipo de seguridad del kernel desarrolló y revisó la corrección, se asignó la CVE y el parche se publicó el 14 de mayo de 2026.
Después vino la coordinación con la lista linux-distros, el canal habitual para la predisclosure hacia las distribuciones. Pero la aparición de material de explotación externo hizo que el embargo perdiera efectividad. Los mantenedores pidieron entonces mover la discusión a la lista pública oss-security.
En ese contexto, la firma publicó primero un aviso mínimo y ahora difundió el informe técnico completo. Su argumento es que la técnica subyacente es novedosa, la visibilidad pública era desigual y ya había investigadores independientes que habían logrado root local y compartido material de explotación.
La recomendación principal es directa: aplicar de inmediato la actualización del kernel distribuida por cada proveedor y asegurarse de que el kernel en ejecución refleje la corrección. No basta con descargar el paquete. Es necesario completar el proceso operativo definido por cada distribución.
Impacto operacional y mitigación temporal
La recomendación más importante, si el parche no puede instalarse de inmediato, es elevar kernel.yama.ptrace_scope a 2. Esa configuración exige CAP_SYS_PTRACE y bloquea los exploits públicos descritos, ya que la ruta pidfd_getfd(2) depende del control de acceso aplicado por __ptrace_may_access().
El resumen técnico de la mitigación indica que pidfd_getfd aplica control de acceso con __ptrace_may_access(target, PTRACE_MODE_ATTACH_REALCREDS). El error omite la rama de dumpable cuando mm es NULL, pero la función aún devuelve security_ptrace_access_check(task, mode), que termina en el hook YAMA LSM.
Con el valor predeterminado ptrace_scope=1, YAMA permite el acceso porque el atacante es el padre del hijo SUID que generó. En cambio, con ptrace_scope=2, YAMA exige CAP_SYS_PTRACE, privilegio del que carece el usuario no privilegiado, por lo que pidfd_getfd devuelve -EPERM sin importar la carrera del kernel.
Sin embargo, esta mitigación no es neutra. Puede afectar el uso de herramientas como gdb -p, strace -p o perf record -p para usuarios no root, salvo que los procesos hayan sido iniciados con PR_SET_PTRACER. También puede causar problemas en sandboxes de reportes de fallos de navegadores, funciones de depuración de contenedores, asistentes de espacio de usuario de kdump y entornos criu.
Además, el reporte advierte que ptrace_scope es estadísticamente no decreciente en tiempo de ejecución. En términos prácticos, una vez que se eleva, no puede reducirse sin reiniciar el sistema. Por eso, la mitigación debe evaluarse con criterios operativos claros.
Qué sistemas fueron señalados y qué hacer después del parche
La investigación menciona que ya existen paquetes corregidos de Debian, Fedora y otros proveedores importantes. También pide revisar los avisos de seguridad de cada distribución afectada, entre ellas Red Hat, SUSE, Debian, Fedora, AlmaLinux y CloudLinux, para identificar las versiones autorizadas y cualquier medida adicional específica del proveedor.
Qualys también publicó identificadores de detección para sus clientes, incluyendo el QID 387392 para la vulnerabilidad del kernel Linux CVE-2026-46333, así como múltiples QID ligados a actualizaciones de Red Hat, AlmaLinux, CloudLinux, SUSE, Debian y Fedora.
Más allá del parche, la empresa recomienda un paso extra en hosts que hayan permitido usuarios locales no confiables durante la ventana de exposición. En esos casos, las claves SSH del host y las credenciales almacenadas localmente deben tratarse como potencialmente expuestas.
Eso implica rotar claves del host y revisar cualquier material administrativo que haya residido en memoria de procesos set-uid. La lógica es simple: si un atacante pudo capturar descriptores o canales autenticados durante la carrera descrita, no puede descartarse un compromiso de secretos sensibles.
Para equipos de seguridad con inventarios extensos, la firma sugiere identificar activos vulnerables mediante consultas sobre sistemas Ubuntu, Debian y SUSE, así como usar filtros por CVE en plataformas de gestión de vulnerabilidades. Aunque esa recomendación está asociada a sus propios productos, el principio aplica de manera general a cualquier programa serio de gestión de parches.
El caso de CVE-2026-46333 es un recordatorio importante para la industria. Un fallo local puede ser tan crítico como una vulnerabilidad remota cuando convierte una cuenta de bajo privilegio en acceso root completo. En un entorno donde los atacantes buscan cadenas de compromiso cada vez más cortas, retrasar el parcheo ya no es una opción razonable.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Blockchain
Bonos del Tesoro tokenizados superan USD $10.800 millones pese a la incertidumbre
IA
Cambios de Google para búsquedas con IA empujarán a usuarios hacia Kagi, DuckDuckGo y Brave: informe
Noticias
Autoridades internacionales desmantelan First VPN, servicio usado por unas 25 bandas de ransomware
Estados Unidos