El investigador de seguridad **Hyunwoo Kim** divulgó el exploit **Dirty Frag** hoy temprano, publicando una prueba de concepto (PoC). Esta escalada de privilegios local se introdujo hace aproximadamente nueve años en la interfaz del algoritmo criptográfico algif_aead del kernel de Linux. **Cómo funciona Dirty Frag** **Dirty Frag** explota el campo de fragmento de una estructura de datos del kernel al encadenar dos fallos de kernel separados: la vulnerabilidad xfrm-ESP Page-Cache Write y la vulnerabilidad RxRPC Page-Cache Write. Esto permite a los atacantes modificar archivos protegidos del sistema en memoria sin autorización, logrando la escalada de privilegios. Según Kim, **Dirty Frag** pertenece a la misma clase que las vulnerabilidades **Dirty Pipe** y **Copy Fail** de Linux, pero explota una estructura de datos del kernel diferente. "Al igual que con la vulnerabilidad anterior Copy Fail, Dirty Frag también permite la escalada inmediata de privilegios de root en todas las distribuciones importantes, y encadena dos vulnerabilidades separadas", afirmó Kim. Agregó además: "Dirty Frag es un caso que extiende la clase de errores a la que pertenecen Dirty Pipe y Copy Fail. Debido a que es un error lógico determinista que no depende de una ventana de tiempo, no se requiere una condición de carrera, el kernel no falla cuando el exploit falla, y la tasa de éxito es muy alta." **Distribuciones Afectadas** Esta escalada de privilegios del kernel afecta a una amplia gama de distribuciones de Linux, incluidas Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed y Fedora. Aún no hay parches disponibles para estas distribuciones.  *Demostración de Dirty Frag (Hyunwoo Kim)* Kim publicó la documentación completa de **Dirty Frag** y un exploit PoC después de que se rompiera el embargo sobre la divulgación pública completa el 7 de mayo de 2026, cuando un tercero no relacionado publicó el exploit de forma independiente. "Debido a que el embargo se ha roto actualmente, no existe un parche ni un CVE. Tras la consulta con los mantenedores en [email protected] y a petición de ellos, se publica este documento de Dirty Frag", dijo Kim. **Mitigación** Para proteger los sistemas contra ataques, los usuarios de Linux pueden usar el siguiente comando para eliminar los módulos del kernel vulnerables esp4, esp6 y rxrpc: ```bash sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" ``` *Nota: Esto interrumpirá las VPN IPsec y los sistemas de archivos de red distribuidos AFS.* **Explotación de Copy Fail** Esta nueva divulgación de zero-day se produce mientras los mantenedores de distribuciones de Linux aún están implementando parches para **Copy Fail**, otra vulnerabilidad de escalada de privilegios de root que se explota activamente en ataques. La **Agencia de Ciberseguridad e Infraestructura (CISA)** agregó **Copy Fail** a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el viernes pasado, ordenando a las agencias federales que aseguren sus dispositivos Linux en un plazo de dos semanas, antes del 15 de mayo. "Este tipo de vulnerabilidad es un vector de ataque frecuente para actores cibernéticos maliciosos y representa riesgos significativos para la empresa federal", advirtió la agencia de ciberseguridad de EE. UU. en ese momento. "Aplique las mitigaciones según las instrucciones del proveedor, siga la guía BOD 22-01 aplicable para servicios en la nube, o descontinúe el uso del producto si las mitigaciones no están disponibles." En abril, las distribuciones de Linux parchearon otra vulnerabilidad de escalada de privilegios de root (denominada Pack2TheRoot) que se había descubierto una década después de su introducción en el demonio **PackageKit**. *Actualización 08 de mayo, 09:58 EDT: Las dos vulnerabilidades de escritura en la caché de páginas encadenadas por Dirty Frag ahora se rastrean bajo los siguientes IDs de CVE: la de xfrm-ESP se le asignó **CVE-2026-43284**, y la de RxRPC ahora es **CVE-2026-43500**.*  ## El 99% de lo que encontró Mythos sigue sin parchear. La IA encadenó cuatro zero-days en un solo exploit que eludió los sandboxes tanto del renderizador como del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama tu Lugar](https://hubs.li/Q04crVgD0)