Vulnerabilidade crítica “DirtyDecrypt” en Linux permite escalada de privilexios a root

linux
Empresas
Administración Pública
Linux
Vulnerabilidades
Nivel de alerta
Crítico

Investigadores de seguridade alertaron sobre unha nova vulnerabilidade crítica no kernel Linux denominada “DirtyDecrypt”, para a que xa existe código de explotación público capaz de obter privilexios root en sistemas vulnerables.

As vulnerabilidades poderían permitir:

  • Escalada local de privilexios
  • Compromiso completo do sistema
  • Corrupción de memoria do kernel
  • Ruptura do illamento de contedores

A vulnerabilidade afecta ao subsistema RxGK do kernel Linux empregado por Andrew File System (AFS) e podería ser utilizada por atacantes con acceso local para elevar privilexios e comprometer completamente o sistema.

 

A publicación dun exploit funcional incrementa significativamente o risco de explotación real en:

  • estacións de traballo de desenvolvemento
  • contornas cloud
  • infraestruturas Linux corporativas
  • sistemas con kernels rolling-release ou experimentais

Vulnerabilidade identificada

DirtyDecrypt — “DirtyCBC”

  • Tipo:
    • Escalada local de privilexios 
    • Corrupción de memoria 
    • Escritura arbitraria en kernel space 

A vulnerabilidade orixínase na función:

  • rxgk_decrypt_skb

O problema técnico deriva da ausencia dunha protección Copy-On-Write (COW), permitindo corrupción de page cache baixo determinadas condicións.

 

Un atacante local podería:

  • sobrescribir rexións de memoria privilexiada
  • modificar memoria do kernel
  • elevar privilexios ata root
  • romper o illamento de contedores
  • comprometer servizos críticos Linux

Posible relación con CVE-2026-31635

Aínda que actualmente non existe unha asignación oficial definitiva, múltiples investigadores consideran que DirtyDecrypt podería corresponderse con:

  • CVE-2026-31635

A vulnerabilidade tería sido corrixida parcialmente upstream o 25 de abril de 2026.

Distribucións potencialmente afectadas

A vulnerabilidade afecta sistemas Linux compilados con:

  • CONFIG_RXGK habilitado

Distribucións potencialmente expostas:

  • Fedora
  • Arch Linux
  • openSUSE Tumbleweed
  • kernels upstream experimentais

O exploit público foi validado principalmente sobre Fedora e kernels Linux upstream sen modificar.

 

Verificación rápida de exposición

Os administradores poden comprobar se o kernel ten habilitada a funcionalidade vulnerable mediante o seguinte comando:

 

            grep CONFIG_RXGK /boot/config-$(uname -r)

 

Interpretación do resultado:

  • Se o sistema devolve: CONFIG_RXGK=y ou CONFIG_RXGK=m, o kernel ten habilitado soporte RxGK e o sistema podería ser potencialmente vulnerable.
  • Se o resultado devolve: # CONFIG_RXGK is not set ou non mostra ningunha saída, a funcionalidade non está habilitada e o sistema probablemente non está afectado por este vector específico.

Risco operativo

Aínda que a vulnerabilidade non permite explotación remota directa, este tipo de fallos adoita utilizarse como segunda fase tras:

  • phishing
  • roubo de credenciais
  • vulnerabilidades web
  • escapes de contedores
  • compromisos de baixo privilexio

A ameaza resulta especialmente relevante en:

  • infraestruturas cloud Linux
  • Kubernetes
  • CI/CD
  • contedores
  • sistemas DevOps
  • plataformas HPC

Mapeo MITRE ATT&CK

Posibles técnicas asociadas:

  • T1068Exploitation for Privilege Escalation
  • T1611Escape to Host
  • T1610Deploy Container
  • T1548Abuse Elevation Control Mechanism
  • T1055Process Injection

Mitigacións recomendadas

  • Aplicar inmediatamente as últimas actualizacións do kernel Linux
  • Priorizar sistemas rolling-release e kernels experimentais
  • Verificar se CONFIG_RXGK está habilitado
  • Revisar sistemas Fedora, Arch e openSUSE Tumbleweed
  • Monitorizar actividade anómala de escalada de privilexios
  • Revisar accesos locais e contas con privilexios limitados
  • Auditar actividade relacionada con:
    • rxrpc 
    • esp4 
    • esp6 
    • módulos do kernel asociados a RxGK 

Mitigacións temporais

En contornas onde non sexa posible parchear inmediatamente, os investigadores recomendan deshabilitar temporalmente:

  • módulos rxrpc
  • esp4
  • esp6

mediante configuración modprobe e descarga de módulos activos.

Importante:
Estas mitigacións poderían afectar:

  • IPsec VPN
  • AFS
  • servizos de rede asociados

Recoméndase validar previamente o impacto operativo antes de despregalas en produción.

 

Gobernanza e xestión do risco

Este incidente evidencia riscos asociados a:

  • crecente complexidade do kernel Linux
  • seguridade de memoria en subsistemas críticos
  • exposición de infraestruturas cloud Linux
  • dependencia de kernels rolling-release

Áreas impactadas:

  • sistemas Linux corporativos
  • cloud
  • contedores
  • Kubernetes
  • DevOps
  • infraestruturas críticas

As vulnerabilidades locais de escalada de privilexios en Linux están adquirindo un papel cada vez máis relevante nas campañas modernas de intrusión.

A combinación de:

  • exploit público dispoñible
  • explotación sinxela tras acceso inicial
  • impacto total sobre o sistema
  • presenza masiva de Linux en cloud e infraestruturas críticas

converte este tipo de vulnerabilidades en obxectivos prioritarios para ransomware, espionaxe e operacións avanzadas de post-explotación.

Información relacionada

Ligazóns de interese
CVE-2026-28751
CVE-2026-31635