Hay una nueva vulnerabilidad de escalada local de privilegios (LPE) en Linux que está dando mucho de qué hablar hoy — y con razón. Se llama DirtyFrag, fue descubierta por el investigador de seguridad coreano Hyunwoo Kim, y pertenece a la misma clase de bugs que los ya famosos Dirty Pipe y Copy.Fail. Lo más crítico: por ahora no hay ningún parche disponible en ninguna distribución importante.
Lo que hace a DirtyFrag especialmente preocupante es que el embargo coordinado tenía fecha límite el 12 de mayo, pero hoy una tercera parte no relacionada publicó el código del exploit ESP públicamente, forzando una divulgación anticipada. Si estás corriendo un sistema afectado, necesitas actuar ya.
Cómo funciona DirtyFrag
DirtyFrag encadena dos bugs distintos de escritura en el page-cache del kernel de Linux. Esa combinación es lo que lo hace tan efectivo:
- Bug en xfrm-ESP — Presente en el kernel desde enero de 2017. Proporciona un primitivo de escritura arbitraria de 4 bytes, funcionalmente similar al que explota Copy.Fail. Su antigüedad significa que prácticamente todos los sistemas Linux en producción están afectados.
- Bug en RxRPC — Introducido en junio de 2023, tiene una ventaja clave: no requiere privilegios de creación de namespaces, un requisito común que suele limitar la explotabilidad en entornos reforzados.
Los dos bugs se complementan mutuamente: el bug de xfrm-ESP aporta el primitivo de escritura; el bug de RxRPC aporta el vector de acceso sin la restricción de namespaces. El resultado es un camino confiable hacia root.
A diferencia de muchos exploits de kernel que dependen de condiciones de carrera, DirtyFrag es un bug de lógica determinista. No necesita timing ni suerte — funciona con alta tasa de éxito desde el primer intento.
Kim había enviado el parche para rxrpc a la lista de correo netdev el 29 de abril. La divulgación coordinada estaba programada para el 12 de mayo, pero la publicación anticipada del exploit ESP hoy colapsó el embargo.
Sistemas afectados
DirtyFrag ha sido confirmado como capaz de obtener root en los siguientes sistemas:
- Ubuntu 24.04.4 (kernel 6.17.0-23-generic)
- RHEL 10.1
- CentOS Stream 10
- AlmaLinux 10
- openSUSE Tumbleweed
- Fedora 44
Dado que el bug de xfrm-ESP existe desde 2017, cualquier distribución Linux que corra un kernel de los últimos ocho años debe considerarse potencialmente vulnerable hasta que se confirmen los parches.
Estado actual — ¿Por qué no tiene CVE?
Al día de hoy, DirtyFrag no tiene ningún CVE asignado. El proceso de divulgación coordinada estaba en marcha — Kim había estado trabajando con los mantenedores del kernel y envió el parche de rxrpc a la lista netdev el 29 de abril. El embargo tenía fecha de vencimiento el 12 de mayo, dando tiempo a las distribuciones para preparar sus actualizaciones.
Ese plazo se rompió hoy cuando una tercera parte publicó el exploit ESP de forma independiente. Con código funcional ya en circulación, el embargo perdió todo sentido. La comunidad de seguridad está ahora operando en ventana de divulgación total, sin parches oficiales listos.
El proof-of-concept está disponible públicamente en https://github.com/V4bel/dirtyfrag.
Qué hacer ahora mismo
No hay parches de ningún proveedor disponibles todavía. Mientras llegan, la mitigación provisional recomendada es deshabilitar los módulos de kernel vulnerables. Ejecuta el siguiente comando como root:
printf 'install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
' > /etc/modprobe.d/dirtyfrag.conf && rmmod esp4 esp6 rxrpc 2>/dev/null
Después de ejecutar el comando, reinicia el sistema o verifica que los módulos estén descargados. Ten en cuenta que deshabilitar estos módulos puede afectar sistemas que usen IPsec (esp4/esp6) o RxRPC a nivel de kernel. Evalúa el impacto en tu entorno antes de aplicarlo masivamente.
Además:
- Monitorea de cerca los avisos de seguridad de tu distribución — los parches se esperan en días.
- Restringe el acceso de usuarios locales en sistemas sensibles hasta que lleguen los parches.
- Trátalo como una amenaza activa: el código de exploit es público y funcional.
En Solvanta ayudamos a las organizaciones a rastrear, priorizar y responder a vulnerabilidades como DirtyFrag antes de que se conviertan en incidentes. Si necesitas ayuda para evaluar tu exposición o aplicar controles a escala, contáctanos.