Microsoft y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitieron recientemente una advertencia sobre una nueva vulnerabilidad de seguridad en el kernel de Linux, diciendo que el problema puede afectar a una gran cantidad de distribuciones principales, incluidas Ubuntu, Red Hat, SUSE, Debian, Fedora, Arch Linux y Amazon (AWS) Linux, y que la cantidad de dispositivos involucrados puede ser millones.
La vulnerabilidad tiene el número CVE-2026-31431 y tiene una puntuación CVSS de 7,8. Está incluido en el directorio "Vulnerabilidades explotadas conocidas" de CISA, que lo considera un vector de ataque común para atacantes maliciosos y representa un riesgo significativo para las agencias federales y el entorno empresarial en general.
CISA señaló en el aviso que se trata de una vulnerabilidad en la que "el kernel de Linux transfiere incorrectamente recursos entre diferentes dominios de seguridad". Si se explota, puede hacer que los permisos locales se eleven al nivel raíz. Este tipo de escalada local de privilegios es particularmente peligrosa en entornos de cargas de trabajo con muchos contenedores y de múltiples inquilinos basados en estas distribuciones, ya que una vez que un atacante obtiene acceso inicial al sistema, existe la oportunidad de violar aún más el aislamiento y tomar el control de todo el nodo.
Red Hat emitió un aviso de seguridad el mes pasado para brindar una explicación técnica más detallada de este problema. Según el anuncio, la vulnerabilidad aparece en la interfaz del algoritmo de cifrado algif_aead en el kernel de Linux. Debido a la introducción de una implementación incorrecta de "operación in situ", la asignación de memoria de los datos de origen y los datos de destino es inconsistente. Como resultado, pueden ocurrir comportamientos inesperados o problemas de integridad de los datos durante la operación de cifrado, afectando así la confiabilidad de la comunicación cifrada.
Los investigadores de seguridad de Microsoft rastrearon además la falla lógica en el subsistema de cifrado del kernel y señalaron que el problema se centraba en una optimización del módulo algif_aead bajo el marco AF_ALG introducido en 2017. Las "optimizaciones in situ" en ese momento causaron que el kernel reutilizara incorrectamente la memoria de origen como búfer de destino al realizar ciertas operaciones criptográficas. Un atacante puede explotar la interacción entre la interfaz del socket AF_ALG y la llamada al sistema splice() para lograr una escritura controlada de 4 bytes en la caché de la página del núcleo, manipulando así con precisión las estructuras de datos críticas.
Los investigadores dijeron que este proceso de ataque puede implementarse a través de un script Python y modificarse para archivos binarios con altos privilegios como /usr/bin/su para que pueda ejecutarse directamente con privilegios de root cuando se ejecute. A diferencia de muchos exploits del kernel que se basan en condiciones de carrera, la explotación de esta vulnerabilidad no se basa en carreras de tiempo, sino que puede reproducirse de manera estable y determinista a través de un pequeño script de aproximadamente 732 bytes. Esta vulnerabilidad se considera un medio "altamente confiable" de escalada de privilegios porque puede explotarse con éxito en una variedad de distribuciones importantes con pocas modificaciones.
En un entorno de computación en la nube, los riesgos que conlleva esta característica se magnifican aún más. Muchos contenedores comparten el mismo kernel host. Una vez que esta vulnerabilidad existe en la versión subyacente del kernel, una infracción de un solo contenedor puede extenderse a todo el nodo y ser completamente controlado. Microsoft advierte que incluso si un atacante inicialmente solo tiene acceso limitado, como iniciar sesión como un usuario con pocos privilegios a través de SSH u obtener oportunidades de ejecución en una canalización CI/CD, esta vulnerabilidad podría ser suficiente para escalar a privilegios raíz, violar los límites de los contenedores, permitir el movimiento lateral e infectar otras cargas de trabajo en un entorno multiinquilino.
Actualmente, las actividades de utilización observadas públicamente se encuentran principalmente en la etapa de prueba de concepto (PoC) y no se han convertido en armas ni proliferado a gran escala. No obstante, Microsoft ha publicado firmas de detección a través de Microsoft Defender XDR para ayudar a organizaciones de todo tipo a identificar posibles intentos de explotación y sistemas comprometidos. Microsoft también insta al equipo de seguridad a completar las actualizaciones del kernel lo antes posible después de que cada versión proporcione los parches correspondientes para eliminar fundamentalmente los riesgos.
Hasta que se implemente completamente un parche, Microsoft recomienda tomar una serie de medidas de mitigación, incluida la deshabilitación temporal de las funciones criptográficas relacionadas afectadas o la prevención de la creación de sockets AF_ALG para reducir la exposición de la superficie de ataque. Además, se deben fortalecer las políticas de control de acceso para limitar el alcance de las cuentas que pueden ejecutar código arbitrario en el sistema, y se debe utilizar el aislamiento de la red para reducir la posibilidad de propagación lateral en el entorno interno después de un único punto de compromiso. Para los nodos con signos sospechosos, la recuperación y reconstrucción rápidas, junto con la auditoría de registros y la detección de comportamiento, también son medios importantes para reducir los riesgos a largo plazo.
