Han surgido detalles sobre una nueva vulnerabilidad de escalada de privilegios local (LPE) sin parches que afecta al kernel de Linux. Apodada **Dirty Frag**, ha sido [descrita](https://www.openwall.com/lists/oss-security/2026/05/07/8) como una sucesora de **Copy Fail** (CVE-2026-31431, CVSS score: 7.8), una falla LPE recientemente revelada que afecta al kernel de Linux y que desde entonces ha sido explotada activamente en la naturaleza. La vulnerabilidad fue reportada a los mantenedores del kernel de Linux el 30 de abril de 2026. "Dirty Frag es una vulnerabilidad (clase) que logra privilegios de root en la mayoría de las distribuciones de Linux al encadenar la vulnerabilidad xfrm-ESP Page-Cache Write y la vulnerabilidad RxRPC Page-Cache Write", dijo el investigador de seguridad Hyunwoo Kim (@v4bel) en un informe. "Dirty Frag es un caso que extiende la clase de error a la que pertenecen [Dirty Pipe](https://thehackernews.com/2022/03/researchers-warn-of-linux-kernel-dirty.html) y [Copy Fail](https://thehackernews.com/2026/04/new-linux-copy-fail-vulnerability.html). Debido a que es un error lógico determinista que no depende de una ventana de tiempo, no se requiere condición de carrera, el kernel no falla cuando el exploit falla y la tasa de éxito es muy alta." La vulnerabilidad actualmente no tiene un identificador CVE, ya que se dice que el embargo se rompió después de que se publicara información detallada y un exploit para la vulnerabilidad xfrm-ESP Page-Cache Write públicamente por un tercero no relacionado. ### Impacto La explotación exitosa de la falla podría permitir a un usuario local sin privilegios obtener acceso root elevado en la mayoría de las distribuciones de Linux, incluyendo Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 y Fedora 44. Según el investigador, la vulnerabilidad xfrm-ESP Page-Cache Write se introdujo en un [commit de código fuente](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cac2661c53f3) realizado en enero de 2017, mientras que la vulnerabilidad RxRPC Page-Cache Write se [introdujo](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2dc334f1a63a) en junio de 2023. Curiosamente, el mismo commit del 17 de enero de 2017 fue la causa raíz de otro desbordamiento de búfer (CVE-2022-27666, CVSS score: 7.8) que afectó a varias distribuciones de Linux. xfr m-ESP Page-Cache Write, que está arraigado en el subsistema IPSec (xfrm), proporciona a los atacantes una primitiva de escritura de 4 bytes similar a Copy Fail y sobrescribe una pequeña cantidad en la caché de páginas del kernel. Sin embargo, el exploit requiere que el usuario sin privilegios cree un espacio de nombres (namespace), un paso que es bloqueado por **Ubuntu** a través de [AppArmor](https://ubuntu.com/server/docs/how-to/security/apparmor). En dicho entorno, xfrm-ESP Page-Cache Write no se puede activar. Ahí es donde entra el segundo exploit, RxRPC Page-Cache Write. "RxRPC Page-Cache Write no requiere el privilegio de crear un espacio de nombres, pero el módulo rxrpc.ko en sí no está incluido en la mayoría de las distribuciones", explicó Kim. "Por ejemplo, la compilación predeterminada de RHEL 10.1 no incluye rxrpc.ko. Sin embargo, en Ubuntu, el módulo rxrpc.ko se carga por defecto." "Encadenar las dos variantes hace que los puntos ciegos se cubran mutuamente. En un entorno donde se permite la creación de espacios de nombres de usuario, el exploit ESP se ejecuta primero. Por el contrario, en Ubuntu, donde se bloquea la creación de espacios de nombres de usuario pero rxrpc.ko está compilado, el exploit RxRPC funciona." **CloudLinx**, en un [asesoramiento](https://blog.cloudlinux.com/dirty-frag-mitigation-and-kernel-update) propio, dijo que la falla reside en la "ruta rápida de escritura MSG_SPLICE_PAGES no-COW de ESP-in-UDP y es accesible a través de la interfaz netlink de usuario XFRM". "El error vive en las rutas rápidas de descifrado in situ de esp4, esp6 y rxrpc: cuando un buffer de socket transporta fragmentos paginados que no son propiedad exclusiva del kernel (por ejemplo, páginas de tubería adjuntas a través de splice(2)/sendfile(2)/MSG_SPLICE_PAGES), la ruta de recepción descifra directamente sobre esas páginas respaldadas externamente, exponiendo o corrompiendo texto plano al que un proceso sin privilegios todavía tiene una referencia", dijo **AlmaLinux** [aquí](https://almalinux.org/blog/2026-05-07-dirty-frag/). Se han publicado asesoramientos similares de otras distribuciones de Linux - * [Amazon Linux](https://aws.amazon.com/security/security-bulletins/rss/2026-027-aws/) * Debian ([xfrm-ESP Page-Cache Write](https://security-tracker.debian.org/tracker/CVE-2026-43284), [RxRPC Page-Cache Write](https://security-tracker.debian.org/tracker/CVE-2026-43500)) * [Red Hat Enterprise Linux](https://access.redhat.com/security/vulnerabilities/RHSB-2026-003) * [Rocky Linux](https://forums.rockylinux.org/t/dirty-frag-vulnerability-reported-for-linux-kernel-cve-2026-43284-cve-2026-43500/20430) * [SUSE](https://www.suse.com/c/addressing-copy-fail2-aka-dirtyfrag-in-suse-virtualization/) Añadiendo urgencia está el lanzamiento de una prueba de concepto (PoC) funcional que puede ser explotada para obtener root en un solo comando. Hasta que los parches estén disponibles, se recomienda bloquear los módulos esp4, esp6 y rxrpc para que no puedan cargarse - bash sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" Vale la pena mencionar aquí que Dirty Frag, a pesar de compartir algunas superposiciones con Copy Fail, puede ser explotado independientemente de si el módulo algif_aead del kernel de Linux está habilitado o no. "Tenga en cuenta que Dirty Frag se puede activar independientemente de si el módulo algif_aead está disponible", dijo el investigador. "En otras palabras, incluso en sistemas donde se aplica la mitigación Copy Fail conocida públicamente (lista negra de algif_aead), su Linux sigue siendo vulnerable a Dirty Frag." ### Actualización La vulnerabilidad xfrm-ESP Page-Cache Write ha sido asignada [CVE-2026-43284](https://nvd.nist.gov/vuln/detail/CVE-2026-43284) y parcheada en la línea principal en [f4c50a4034e6](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f4c50a4034e6). La vulnerabilidad RxRPC Page-Cache Write ha sido asignada el identificador CVE-2026-43500, aunque no hay un parche disponible al momento de escribir esto. "En hosts que no ejecutan cargas de trabajo de contenedores, la vulnerabilidad permite a un usuario local elevar privilegios al usuario root", dijo **Ubuntu** [aquí](https://ubuntu.com/blog/dirty-frag-linux-vulnerability-fixes-available). "En implementaciones de contenedores que pueden ejecutar cargas de trabajo arbitrarias de terceros, la vulnerabilidad puede facilitar además escenarios de escape de contenedores, además de la escalada de privilegios local en el host." En un asesoramiento, **Wiz**, propiedad de **Google**, describió Dirty Frag como una cadena de vulnerabilidades que combina dos primitivas de escritura de caché de páginas en el kernel de Linux: una en el subsistema xfrm-ESP (IPsec) y otra en RxRPC. "Ambas fallas permiten la modificación de memoria respaldada por caché de páginas que no es propiedad exclusiva del kernel, lo que permite la corrupción de archivos sensibles y, en última instancia, la escalada de privilegios", dijeron los investigadores Merav Bar y Rami McCarthy [aquí](https://www.wiz.io/blog/dirty-frag-linux-kernel-local-privilege-escalation-via-esp-and-rxrpc). "A diferencia de los exploits basados en condiciones de carrera, esta clase de error es determinista y altamente confiable, similar a vulnerabilidades anteriores como Copy Fail y Dirty Pipe." "Para llevar a cabo este exploit, un atacante necesita dos cosas: acceso a interfaces de kernel vulnerables específicas y la capacidad de manipular buffers respaldados por páginas (por ejemplo, a través de rutas relacionadas con splice()). Sin embargo, hay un obstáculo importante: el exploit generalmente requiere permisos de sistema de alto nivel, como CAP_NET_ADMIN. Esto significa que la explotación es menos probable en entornos contenerizados endurecidos (por ejemplo, Kubernetes con perfiles seccomp predeterminados)." ### Explotación Limitada en la Naturaleza Observada **Microsoft** dijo que actualmente está observando actividad limitada en la naturaleza para lograr la escalada de privilegios utilizando el comando "su" (también conocido como substitute user), que señaló "puede ser indicativo de técnicas asociadas con 'Dirty Frag' o '[Copy Fail](https://kb.cert.org/vuls/id/260001)'". "La campaña muestra una línea de tiempo de ataque secuencial donde una conexión externa obtiene acceso SSH y genera un shell interactivo, seguido de la preparación y ejecución de un binario ELF (./update) que activa inmediatamente una escalada de privilegios a través de 'su'", agregó **Microsoft** [aquí](https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/). Tras obtener acceso elevado, se ha descubierto que los actores de amenazas desconocidos modifican un archivo de autenticación GLPI LDAP, realizan reconocimiento del directorio GLPI y la configuración del sistema, e inspeccionan un artefacto de exploit. Este paso es seguido por los atacantes que acceden a datos sensibles e interactúan con múltiples archivos de sesión PHP, incluyendo del