Se ha hecho pública una vulnerabilidad crítica en Linux apodada Dirty Frag que permite a un atacante local escalar privilegios hasta root. En el momento de la divulgación no había parches generalizados y circula un PoC funcional, por lo que se recomienda aplicar mitigaciones temporales y acelerar la actualización del kernel en cuanto esté disponible.
Linux vuelve a enfrentarse a un fallo de alto impacto con una característica especialmente incómoda para operaciones, la combinación de una técnica fiable y un PoC público. Dirty Frag se describe como una escalada local de privilegios que termina en root y afecta a un conjunto amplio de distribuciones, entre ellas Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed y Fedora. Aunque el vector es local, el riesgo práctico es elevado en entornos con usuarios no plenamente confiables, acceso interactivo, bastiones, servidores multiusuario, sistemas con jobs de CI y máquinas de escritorio donde se ejecutan binarios de procedencia variada.
A nivel técnico, el problema se remonta a cambios introducidos hace años en el kernel de Linux, concretamente alrededor de la interfaz criptográfica algif_aead. La explotación encadena dos defectos relacionados con escritura en page cache, uno vinculado a la ruta de entrada de xfrm ESP y otro en RxRPC, lo que permite alterar contenido cacheado en memoria de ficheros que deberían estar protegidos. Es una familia de fallos que recuerda a Dirty Pipe y Copy Fail, y se presenta como un bug lógico determinista, sin depender de una race condition, lo que suele traducirse en exploits más consistentes.
En el escenario descrito para ESP, el comportamiento problemático aparece cuando se manejan paquetes construidos con páginas compartidas, por ejemplo páginas de pipe adjuntadas mediante splice, sendfile o MSG_SPLICE_PAGES, que acaban en un skb UDP sin marcar como fragmento compartido y se descifran ‘en sitio’. Ese detalle es clave porque abre la puerta a que el descifrado y las rutas de escritura afecten a memoria asociada a páginas que no deberían modificarse de esa manera. El arreglo propuesto en la rama de red marca los fragmentos creados por splice en IPv4 e IPv6 con el flag SKBFL_SHARED_FRAG y, cuando está presente, la ruta de entrada de ESP evita el descifrado en sitio y recurre a una ruta con copia previa. El cambio se centra en la entrada de ESP y no pretende alterar la salida.
El PoC que circula públicamente ejemplifica el impacto final de forma muy directa, ya que incluye una ruta para sobrescribir la page cache de /usr/bin/su con un ELF mínimo que lanza una shell con UID 0. Lo relevante aquí es que el efecto puede materializarse sin necesidad de ‘reescribir’ el fichero en disco en ese mismo instante, lo que complica la defensa basada únicamente en integridad de ficheros si no se contempla el estado de la caché. El código de prueba además crea un user namespace y un network namespace para operar con sockets de red dentro del netns y orquestar el caso de ESP encapsulado en UDP.
En el momento inicial se hablaba de ausencia de CVE, pero AlmaLinux ya ha indicado la asignación de CVE-2026-43284 y ha documentado kernels corregidos para AlmaLinux 8, 9 y 10, publicados en su repositorio almalinux-testing. Como referencia, se citan umbrales como kernel-4.18.0-553.123.2.el8_10 en AlmaLinux 8, kernel-5.14.0-611.54.3.el9_7 en AlmaLinux 9 y kernel-6.12.0-124.55.2.el10_1 en AlmaLinux 10. En paralelo, se han compartido fixes upstream, uno para ESP en el árbol de netdev y otro para RxRPC publicado en lore.kernel.org.
Mientras los parches llegan y se despliegan en todas las distribuciones, la mitigación operativa propuesta pasa por impedir la carga de los módulos del kernel esp4, esp6 y rxrpc, y descargarlos si están activos, asumiendo el impacto. Esto puede romper VPNs IPsec basadas en ESP y también componentes asociados a AFS en entornos que lo usen, así que conviene verificar dependencias reales antes de aplicarlo de forma masiva y, si esos servicios son imprescindibles, priorizar aún más la transición a un kernel corregido en lugar de sostener la mitigación durante mucho tiempo. En AlmaLinux, además, se advierte de que rxrpc.ko puede proceder del subpaquete kernel-modules-partner, distribuido en el repositorio Devel y no habilitado por defecto, por lo que merece la pena comprobar si está instalado y eliminarlo si no es necesario para reducir superficie.
Como medida adicional cuando no sea posible reiniciar de inmediato tras actualizar, se propone vaciar la caché de páginas con el comando echo 3 > /proc/sys/vm/drop_caches para forzar lecturas desde disco en lugar de reutilizar páginas cacheadas potencialmente alteradas. Aun así, si hay indicios de explotación, el enfoque prudente es tratarlo como un compromiso total, ya que la técnica permite afectar binarios y ficheros sensibles a través de la page cache. En ese caso, además de contener, conviene rotar credenciales y reinstalar desde un origen confiable.
Dado que se ha reportado explotación satisfactoria también en WSL2 y en kernels recientes de escritorio, el perímetro a vigilar va más allá de servidores tradicionales. La priorización debería centrarse en máquinas con acceso local no confiable, sistemas con cuentas compartidas, saltos de administración y entornos donde se ejecuta código de terceros, al mismo tiempo que se monitorizan los avisos de seguridad del proveedor y se planifican ventanas de reinicio para cargar el kernel actualizado en cuanto el backport esté disponible.
Más información
- BleepingComputer – New Linux ‘Dirty Frag’ zero-day gives root on all major distros : https://www.bleepingcomputer.com/news/security/new-linux-dirty-frag-zero-day-with-poc-exploit-gives-root-privileges/
- Openwall – oss-security mailing list (index) : https://www.openwall.com/lists/oss-security/
- Tom’s Hardware – Devastating ‘Dirty Frag’ exploit leaks out, gives immediate root access on most Linux machines since 2017, no patches available, no warning given — Copy Fail-like vulnerability had its embargo broken : https://www.tomshardware.com/tech-industry/cyber-security/dirty-frag-exploit-gets-root-on-most-linux-machines-since-2017-no-patches-available-no-warning-given-copy-fail-like-vulnerability-had-its-embargo-broken
- AlmaLinux OS Blog – Dirty Frag : https://almalinux.org/blog/2026-05-07-dirty-frag/
- Openwall oss-security – Dirty Frag: Universal Linux LPE : https://www.openwall.com/lists/oss-security/2026/05/07/8
- Openwall oss-security – Copy Fail 2 / Dirty Frag — n-day from public commit, not embargo break : https://www.openwall.com/lists/oss-security/2026/05/07/12
- netdev mailing list (spinics.net) – [PATCH 8/8] xfrm: esp: avoid in-place decrypt on shared skb frags : https://www.spinics.net/lists/netdev/msg1183448.html
La entrada Dirty Frag: la nueva vulnerabilidad zero-day en Linux con PoC público que permite escalar privilegios a root en múltiples distribuciones se publicó primero en Una Al Día.
