Una vulnerabilidad de escalada de privilegios local recientemente parcheada en el módulo rxgk del kernel de **Linux** ahora cuenta con un exploit de prueba de concepto que permite a los atacantes obtener acceso root en algunos sistemas **Linux**. ### Detalles de DirtyDecrypt Denominada DirtyDecrypt y también conocida como DirtyCBC, esta falla de seguridad fue encontrada y reportada de forma autónoma por el equipo de seguridad **V12** a principios de este mes, cuando los mantenedores les informaron que se trataba de un duplicado que ya había sido parcheado en la línea principal. "La encontramos y reportamos el 9 de mayo de 2026, pero los mantenedores nos informaron que era un duplicado", dijo **V12**. "Es una escritura en la caché de páginas de rxgk debido a la falta de una guarda COW en rxgk_decrypt_skb. Vea poc.c para más detalles." Si bien no hay un ID **CVE** oficial asociado con esta falla de seguridad, según **Will Dormann** (analista principal de vulnerabilidades en **Tharros**), la información de los investigadores de seguridad se alinea con los detalles de **CVE-2026-31635**, que fue parcheado el 25 de abril. ### Superficie de Ataque La explotación exitosa requiere ejecutar un kernel de **Linux** con la opción de configuración `CONFIG_RXGK`, que habilita el soporte de seguridad RxGK para el cliente Andrew File System (**AFS**) y el transporte de red. Esto limita la superficie de ataque a las distribuciones de **Linux** que siguen de cerca los últimos lanzamientos del kernel upstream, incluyendo **Fedora**, **Arch Linux** y **openSUSE Tumbleweed**. Sin embargo, el exploit de prueba de concepto de **V12** solo ha sido probado contra **Fedora** y el kernel principal de **Linux**.  *Prueba de exploit DirtyDecrypt en Fedora (Will Dormann)* ### Vulnerabilidades Similares DirtyDecrypt pertenece a la misma clase de vulnerabilidad que varias otras fallas de escalada de privilegios root reveladas en las últimas semanas, incluyendo Dirty Frag, Fragnesia y Copy Fail. ### Mitigación Se recomienda a los usuarios de **Linux** en distribuciones potencialmente afectadas por DirtyDecrypt que instalen las últimas actualizaciones del kernel lo antes posible. Sin embargo, aquellos que no puedan parchear sus dispositivos de inmediato deben usar la misma mitigación utilizada para Dirty Frag (sin embargo, esto también romperá las VPN IPsec y los sistemas de archivos distribuidos **AFS**): ```bash sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true" ``` ### Explotación Activa Estas divulgaciones siguen a informes recientes de que los atacantes están explotando activamente la vulnerabilidad Copy Fail en la naturaleza. La **Agencia de Ciberseguridad e Infraestructura (CISA)** agregó Copy Fail a su lista de fallas explotadas en ataques el 1 de mayo y ordenó a las agencias federales que aseguren sus dispositivos **Linux** en un plazo de dos semanas, para el 15 de mayo. "Este tipo de vulnerabilidad es un vector de ataque frecuente para actores cibernéticos maliciosos y representa riesgos significativos para la empresa federal", advirtió la agencia de ciberseguridad de EE. UU. En abril, las distribuciones de **Linux** implementaron parches para otra vulnerabilidad de escalada de privilegios root (denominada Pack2TheRoot) en el demonio PackageKit que había pasado desapercibida durante casi 12 años.