Linux Kernel CVE-2026-46333 permite acceso no autorizado a archivos restringidos

Introducción

El ecosistema Linux sigue bajo presión por fallos de seguridad que escalan rápidamente de «curiosidad académica» a riesgos operativos críticos. El último ejemplo es CVE-2026-46333, un local kernel flaw que permite a un usuario sin privilegios leer archivos restringidos al root, incluyendo claves SSH, archivos de contraseñas (/etc/shadow) y otros secretos sensibles. La vulnerabilidad afecta a kernels LTS desde la versión 5.10 en adelante, líneas ampliamente desplegadas en servidores empresariales, cloud providers y sistemas embebidos.

Lo más preocupante no es solo el impacto inmediato —que es alto—, sino el patrón recurrente: fallos en el mecanismo de dumping de procesos (get_dumpable) que podrían haber sido detectados hace años. Como señala Qualys en la lista oss-security, el reporte original data de 2020 (Jann Horn en LKML), pero recién ahora se soluciona con un parche en el commit 31e62c2 firmado por Linus Torvalds. Esto refleja un problema estructural: la deuda técnica en seguridad del kernel no se paga con parches puntuales, sino con cambios arquitectónicos.

Qué ocurrió

CVE-2026-46333 surge de una lógica confusa en la función get_dumpable(), que determina qué procesos pueden ser inspeccionados mediante herramientas como ptrace o gdb. En términos prácticos, un atacante con acceso local —aunque sea un usuario sin privilegios— puede bypassear las restricciones de acceso y leer archivos que solo debería poder ver el superusuario. La demostración en GitHub, titulada ssh-keysign-pwn, incluye un exploit funcional que roba claves SSH de /root/.ssh/id_rsa o /etc/shadow, incluso en sistemas con SELinux/AppArmor activados.

Vectores de explotación confirmados

El fallo se activa cuando:

1. El sistema usa un kernel afectado (LTS 5.10, 5.15, 6.1, 6.6, 6.12, 6.18 o 7.0).
2. El atacante tiene acceso local con un usuario no privilegiado (vía SSH, VPN comprometedida o explotación previa de otro fallo).
3. Se ejecuta un exploit que abuse de ptrace o herramientas de depuración para mapear memoria de procesos con privilegios.

Según Linux Stans, el impacto es crítico porque:

• No requiere escalada de privilegios previa (el usuario ya tiene acceso local).
• Afecta a entornos hardening: sistemas con SELinux/AppArmor activados pero que no bloquean ptrace explícitamente.
• Es reproducible en entornos cloud: máquinas virtuales en AWS/GCP/Azure con kernels LTS por defecto.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

DevOps y SRE

Los equipos que gestionan clusters Kubernetes, CI/CD o infraestructura como código (IaC) deben priorizar este parche porque:

• Los nodos worker exponen sockets de depuración: En entornos como EKS o AKS, los workers pueden tener ptrace habilitado en pods con privilegios (ej: debug en el securityContext).
• Integración con herramientas de observabilidad: Herramientas como Datadog Agent o Prometheus Node Exporter suelen ejecutarse con permisos elevados y podrían ser vectores indirectos.

• Según Red Hat, el 68% de los clusters RHEL 8/9 usan kernels 5.14+ (afectados).
• En entornos cloud, el 72% de las instancias con Ubuntu 22.04 LTS usan kernel 5.15 (afectado).

Seguridad y compliance

Para equipos de red team o purple team, este fallo es una oportunidad para simular ataques laterales:

• Robo de credenciales: Claves SSH, tokens de CI/CD (GitHub Actions, GitLab), o contraseñas en /etc.
• Persistencia: Modificar binarios del sistema o inyectar código en procesos críticos (ej: systemd).
• Exfiltración de datos: Acceso a archivos de logs sensibles o configuraciones de monitoreo (Prometheus, Grafana).

> «Los sistemas con acceso a datos sensibles deben implementar capas de mitigación adicionales, como ModuleJail o restricciones de ptrace vía prctl (PR_SET_PTRACER).»

Cloud y proveedores

Los cloud providers deben:

1. Actualizar kernels en imágenes públicas (AMI de AWS, GCE, Azure Marketplace).
2. Deshabilitar ptrace por defecto en instancias no críticas (usando kernel.yama.ptrace_scope=2 en sysctl).
3. Auditar instancias legacy: Kernels 5.4 o anteriores (no afectados) pero que podrían tener otros fallos sin parchear.

• El 34% de las instancias EC2 con Amazon Linux 2023 usan kernel 6.1 (afectado).
• El 12% de las instancias con Ubuntu en AWS usaban kernel 5.15 sin parchear hasta mayo 2026.

Detalles técnicos

Mecanismo del fallo

La vulnerabilidad reside en la función get_dumpable(), que determina si un proceso puede ser «volcado» (dumped) por herramientas como gdb o ptrace. El problema es una condición de carrera (race condition) en la lógica de evaluación de permisos:

static int get_dumpable(struct task_struct *task)
{
    int dumpable = task->mm->flags & MMF_DUMPABLE_MASK;

    // Lógica confusa: no considera correctamente el bit MMF_DUMP_SECURELY
    if (dumpable == MMF_DUMPABLE_DEFAULT)
        dumpable = test_bit(MMF_DUMP_SECURELY, &task->mm->flags) ?
                   MMF_DUMP_SECURELY : MMF_DUMPABLE_NO;

    return dumpable;
}

Kernels afectados y parches

# Para Debian/Ubuntu
sudo apt update && sudo apt install linux-image-$(uname -r)-security

# Para RHEL/CentOS
sudo dnf update kernel --security

Herramientas de explotación conocidas

1. ssh-keysign-pwn (GitHub): Exploit que roba claves SSH mediante ptrace.

   git clone https://github.com/[REDACTED]/ssh-keysign-pwn
   cd ssh-keysign-pwn && make
   ./exploit --target /root/.ssh/id_rsa
   

1. Metasploit Module: El framework incluye un módulo para CVE-2026-46333 desde la versión 6.34.1.

Qué deberían hacer los administradores y equipos técnicos

Paso 1: Parchear inmediatamente

• Sistemas críticos: Servidores con acceso a claves SSH, tokens de CI/CD o datos sensibles.
• Entornos cloud: Actualice kernels en instancias con:

– Pods con privilegios en Kubernetes.

– Instancias con SELinux/AppArmor deshabilitados.

# Debian/Ubuntu (versión con parche)
sudo apt install linux-image-6.1.0-1025-aws linux-headers-6.1.0-1025-aws

# RHEL 9
sudo dnf update --security kernel-core-5.14.0-362.18.1.el9_3.x86_64

# Verificar versión parcheada
uname -r  # Debe ser >= 5.10.210, 5.15.150, 6.1.90, etc.

Paso 2: Mitigaciones temporales (si no puede parchear)

1. Restringir ptrace:

   echo 2 | sudo tee /proc/sys/kernel/yama/ptrace_scope
   

– Nivel 0: No restricción (inseguro).

– Nivel 1: Solo procesos hijos.

– Nivel 2: Solo procesos con mismo UID.

– Nivel 3: Solo procesos con privilegios de root.

1. Deshabilitar módulos no esenciales:

   sudo bash -c 'echo "blacklist <modulo>" > /etc/modprobe.d/blacklist.conf'
   sudo update-initramfs -u
   

1. Aislar procesos sensibles con systemd:

   # /etc/systemd/system/sshd.service.d/override.conf
   [Service]
   NoNewPrivileges=yes
   ProtectKernelTunables=yes
   ProtectKernelModules=yes
   

Paso 3: Implementar ModuleJail (solución proactiva)

1. Escanea módulos cargados:

   sudo modulejail --scan
   

Salida:

   Loaded modules:
   - nf_conntrack
   - iptable_filter
   - e1000e

   Unused modules (to blacklist):
   - bluetooth
   - zfs
   - vboxdrv
   

1. Genera un blacklist dinámico:

   sudo modulejail --generate-blacklist > /etc/modprobe.d/modulejail-blacklist.conf
   sudo update-initramfs -u
   

• No recomendado para laptops: Dificulta la conexión de hardware nuevo (ej: USB).
• Requiere kernel estático: Funciona mejor en sistemas sin initramfs (ej: kernels customizados).

Paso 4: Auditar y monitorear

1. Busque procesos con ptrace:

   sudo auditctl -a exit,always -F arch=b64 -S ptrace -k ptrace_usage
   sudo ausearch -k ptrace_usage | grep -i "pid="
   

1. Revisar permisos de claves SSH:

   find / -name "id_rsa*" -perm -400 -type f 2>/dev/null
   

1. Monitorizar cambios en /etc/shadow:

   sudo auditctl -w /etc/shadow -p wa -k shadow_changes
   

Conclusión

CVE-2026-46333 es un recordatorio de que la seguridad en Linux depende tanto de parches como de arquitectura. Aunque el fallo está resuelto en kernels recientes, su explotación demuestra que:

1. Los fallos en el kernel no son «cosas de usuarios»: Afectan a infraestructura crítica.
2. Las mitigaciones proactivas importan: ModuleJail, restricciones de ptrace y kernels minimalistas reducen riesgos futuros.
3. La deuda técnica se cobra: Fallos como este acumulan años de reportes no resueltos.

Para equipos de DevOps/SRE, la prioridad es parchear antes de que los atacantes conviertan este fallo en un exploit masivo. Para los arquitectos de sistemas, la lección es clara: menos módulos = menos superficie de ataque. Implementar ModuleJail o kernels customizados no es un lujo, sino una necesidad en entornos donde la disponibilidad y la seguridad son irreductibles.

Fuentes

• The Register: Linux kernel flaw opens root-only files to unprivileged users
• GitHub: ssh-keysign-pwn exploit
• Linux Stans: Kernels afectados por CVE-2026-46333
• Qualys: Reporte en oss-security
• ENISA: Recomendaciones para mitigación
• ModuleJail: Automatización de blacklist de módulos
• Red Hat: Estado de kernels afectados
• Bootlin: Código fuente de get_dumpable()